BitLocker-Ereignisprotokolle
Gilt für: Configuration Manager (Current Branch)
Der BitLocker-Verwaltungs-Agent und die Webdienste verwenden Windows-Ereignisprotokolle, um Nachrichten aufzuzeichnen. Wechseln Sie im Ereignisanzeige zu Anwendungs- und Dienstprotokolle, Microsoft, Windows. Der Protokollkanal (Knoten) variiert je nach Computer und Komponente:
- MBAM: BitLocker-Verwaltungs-Agent auf einem Clientcomputer
- MBAM-Web:
- Wiederherstellungsdienst auf dem Verwaltungspunkt
- Self-Service-Portal
- Verwaltungs- und -Überwachungswebsite
Weitere Informationen zu bestimmten Nachrichten in diesen Protokollen finden Sie in den folgenden Artikeln:
In jedem Knoten werden standardmäßig zwei Protokollkanäle angezeigt: Admin und Betriebsbereit. Für ausführlichere Informationen zur Problembehandlung können Sie auch Analyse- und Debugprotokolle anzeigen.
Protokolleigenschaften
Wählen Sie in Windows Ereignisanzeige ein bestimmtes Protokoll aus. Beispiel: Admin. Wechseln Sie zum Menü Aktion, und wählen Sie Eigenschaften aus. Konfigurieren Sie die folgenden Einstellungen:
- Maximale Protokollgröße (KB): Diese Einstellung ist
1028standardmäßig (1 MB) für alle Protokolle. - Wenn die maximale Größe des Ereignisprotokolls erreicht ist: Standardmäßig sind die Admin- und Betriebsprotokolle auf Ereignisse nach Bedarf überschreiben (älteste Ereignisse zuerst) festgelegt.
Analyse- und Debugprotokolle
Sie können ausführlichere Protokolle zur Problembehandlung aktivieren. Wechseln Sie Ereignisanzeige zum Menü Ansicht, und wählen Sie Analyse- und Debugprotokolle anzeigen aus. Wenn Sie nun zum Protokollkanal navigieren, werden zwei zusätzliche Protokolle angezeigt: Analyse und Debuggen.
Tipp
Standardmäßig verfügen diese Protokolle über die folgenden Eigenschaften:
- Maximale Protokollgröße (KB):
1028(1 MB) - Ereignisse nicht überschreiben (Protokolle manuell löschen)
Exportieren von Protokollen in Text
Insbesondere bei den Analyse- und Debugprotokollen kann es einfacher sein, die Protokolleinträge in einer einzelnen Textdatei zu überprüfen. Verwenden Sie die folgenden PowerShell-Befehle, um die Ereignisprotokolleinträge in Textdateien zu exportieren:
# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.
# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt
# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt
# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für