Журналы событий BitLocker

Относится к Configuration Manager (Current Branch)

Агент управления BitLocker и веб-службы используют журналы событий Windows для записи сообщений. В Просмотр событий перейдите в раздел Журналы приложений и служб, Майкрософт, Windows. Канал журнала (узел) зависит от компьютера и компонента:

• MBAM: агент управления BitLocker на клиентском компьютере
• MBAM-Web:
  • Служба восстановления в точке управления
  • Портал самообслуживания
  • Администрирование и мониторинг веб-сайта

Дополнительные сведения о конкретных сообщениях в этих журналах см. в следующих статьях:

• Клиентские журналы событий
• Серверные журналы событий

В каждом узле по умолчанию отображаются два канала журнала: Администратор и операционный. Для получения более подробных сведений об устранении неполадок можно также отобразить журналы аналитики и отладки.

Свойства журнала

В Windows Просмотр событий выберите определенный журнал. Например, Администратор. Перейдите в меню Действие и выберите Свойства. Настройте указанные ниже параметры.

• Максимальный размер журнала (КБ): по умолчанию этот параметр равен 1028 (1 МБ) для всех журналов.
• При достижении максимального размера журнала событий по умолчанию для журналов Администратор и Операционных журналов устанавливается значение Перезапись событий по мере необходимости (сначала самые старые события).

Журналы аналитики и отладки

Вы можете включить более подробные журналы для устранения неполадок. В Просмотр событий перейдите в меню Вид и выберите Показать журналы аналитики и отладки. Теперь при переходе к каналу журналов вы увидите два дополнительных журнала: Аналитика и Отладка.

Совет

По умолчанию эти журналы имеют следующие свойства:

• Максимальный размер журнала (КБ):1028 (1 МБ)
• Не перезаписывать события (очистить журналы вручную)

Экспорт журналов в текст

Особенно в журналах аналитики и отладки вам будет проще просматривать записи журналов в одном текстовом файле. Используйте следующие команды PowerShell для экспорта записей журнала событий в текстовые файлы:

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt