Freigeben über

Aktivieren des Systemereignisüberwachungsprotokolls

  • Artikel

Dieses Thema enthält die folgenden Informationen:

Aktivieren der Sicherheitsüberwachungsrichtlinie

Aktivieren der ausführlichen Protokollierung von Codeintegritätsdiagnoseereignissen

Aktivieren der Sicherheitsüberwachungsrichtlinie

Führen Sie die folgenden Schritte aus, um die Sicherheitsüberwachungsrichtlinie zum Erfassen von Ladefehlern in den Überwachungsprotokollen zu aktivieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen, erstellen Sie eine Desktopverknüpfung zum Cmd.exe, halten Sie die Cmd.exe Verknüpfung gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie Als Administrator ausführen aus.

  2. Führen Sie im Eingabeaufforderungsfenster mit erhöhten Rechten den folgenden Befehl aus:

    Auditpol /set /Category:System /failure:enable

  3. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Der folgende Screenshot zeigt, wie Sie Auditpol verwenden, um die Sicherheitsüberwachung zu aktivieren.

Screenshot des Eingabeaufforderungsfensters, das die Verwendung von auditpol zum Aktivieren der Sicherheitsüberwachung veranschaulicht.

Aktivieren der ausführlichen Protokollierung von Codeintegritätsdiagnoseereignissen

Führen Sie die folgenden Schritte aus, um die ausführliche Protokollierung zu aktivieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

  2. Führen Sie Eventvwr.exe in der Befehlszeile aus.

  3. Erweitern Sie unter dem Ordner Ereignisanzeige im linken Bereich des Ereignisanzeige die folgende Sequenz von Unterordnern:

    1. Anwendungs- und Dienstprotokolle

    2. Microsoft

    3. Windows

  4. Erweitern Sie den Unterordner Codeintegrität unter dem Windows-Ordner , um das Kontextmenü anzuzeigen.

  5. Wählen Sie Ansicht aus.

  6. Wählen Sie Analyse- und Debugprotokolle anzeigen aus. Ereignisanzeige zeigt dann eine Unterstruktur an, die einen Betriebsordner und einen Ausführlichen Ordner enthält.

  7. Wählen Sie Verbose aus, und halten Sie sie gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Eigenschaften im Kontextmenü des Popupmenüs aus.

  8. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte Allgemein aus, und wählen Sie dann in der Mitte der Eigenschaftenseite die Option Protokollierung aktivieren aus. Dadurch wird eine ausführliche Protokollierung aktiviert.

  9. Starten Sie den Computer neu, damit die Änderungen wirksam werden.