BitLocker-eseménynaplók
A következőre vonatkozik: Configuration Manager (aktuális ág)
A BitLocker felügyeleti ügynöke és webszolgáltatásai Windows-eseménynaplók használatával rögzítik az üzeneteket. A eseménymegtekintő lépjen az Alkalmazások és szolgáltatások naplói, Microsoft, Windows elemre. A naplócsatorna (csomópont) a számítógéptől és az összetevőtől függően változik:
- MBAM: BitLocker felügyeleti ügynök egy ügyfélszámítógépen
-
MBAM-Web:
- Helyreállítási szolgáltatás a felügyeleti ponton
- Önkiszolgáló portál
- Felügyeleti és figyelési webhely
A naplókban szereplő konkrét üzenetekkel kapcsolatos további információkért tekintse meg a következő cikkeket:
Alapértelmezés szerint minden csomóponton két naplócsatorna jelenik meg: Rendszergazda és Operatív. Részletesebb hibaelhárítási információkért elemzési és hibakeresési naplókat is megjeleníthet.
Naplótulajdonságok
A Windows eseménymegtekintő válasszon ki egy adott naplót. Például Rendszergazda. Nyissa meg a Művelet menüt, és válassza a Tulajdonságok lehetőséget. Konfigurálja a következő beállításokat:
-
Maximális naplóméret (KB): alapértelmezés szerint ez a beállítás (1 MB) az
1028
összes naplóhoz. - Ha eléri az eseménynapló maximális méretét: alapértelmezés szerint a Rendszergazda és az operatív naplók szükség szerint felülírják az eseményeket (a legrégebbi eseményeket először) értékre állítja.
Elemzési és hibakeresési naplók
Hibaelhárítási célból részletesebb naplókat engedélyezhet. A eseménymegtekintő nyissa meg a Nézet menüt, és válassza az Elemzési és hibakeresési naplók megjelenítése lehetőséget. Most, amikor a naplócsatornát böngészi, két további napló jelenik meg: elemzési és hibakeresési.
Tipp
Alapértelmezés szerint ezek a naplók a következő tulajdonságokkal rendelkeznek:
-
Napló maximális mérete (KB):
1028
(1 MB) - Ne írja felül az eseményeket (naplók manuális törlése)
Naplók exportálása szövegbe
Különösen az elemzési és hibakeresési naplók esetében lehet, hogy egyszerűbb áttekinteni a naplóbejegyzéseket egyetlen szövegfájlban. Az alábbi PowerShell-parancsokkal exportálhatja az eseménynapló bejegyzéseit szövegfájlokba:
# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.
# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt
# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt
# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt