Dela via

BitLocker-händelseloggar

  • Artikel

Gäller för: Konfigurationshanteraren (current branch)

BitLocker-hanteringsagenten och webbtjänsterna använder Windows-händelseloggar för att registrera meddelanden. I Loggboken går du till Program- och tjänstloggar, Microsoft, Windows. Loggkanalen (noden) varierar beroende på datorn och komponenten:

  • MBAM: BitLocker-hanteringsagent på en klientdator
  • MBAM-Web:
    • Återställningstjänst på hanteringsplatsen
    • Självbetjäningsportal
    • Administrations- och övervakningswebbplats

Mer information om specifika meddelanden i dessa loggar finns i följande artiklar:

I varje nod visas som standard två loggkanaler: Admin och Drift. Om du vill ha mer detaljerad felsökningsinformation kan du även visa analys- och felsökningsloggar.

Loggegenskaper

I Windows Loggboken väljer du en specifik logg. Till exempel Admin. Gå till menyn Åtgärd och välj Egenskaper. Konfigurera följande inställningar:

  • Maximal loggstorlek (KB): Som standard är 1028 den här inställningen (1 MB) för alla loggar.
  • När den maximala händelseloggstorleken nås: som standard anges Admin- och driftloggarna till Skriv över händelser efter behov (äldsta händelserna först).

Analys- och felsökningsloggar

Du kan aktivera mer detaljerade loggar i felsökningssyfte. I Loggboken går du till menyn Visa och väljer Visa analys- och felsökningsloggar. Nu när du bläddrar till loggkanalen visas ytterligare två loggar: Analys och Felsökning.

Tips

Som standard har dessa loggar följande egenskaper:

  • Maximal loggstorlek (KB): 1028 (1 MB)
  • Skriv inte över händelser (rensa loggar manuellt)

Exportera loggar till text

Särskilt med analys - och felsökningsloggarna kan det vara lättare att granska loggposterna i en enda textfil. Använd följande PowerShell-kommandon för att exportera händelseloggposterna till textfiler:

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt