BitLocker 事件日志

适用于: Configuration Manager(current branch)

BitLocker 管理代理和 Web 服务使用 Windows 事件日志来记录消息。 在事件查看器中，转到“应用程序和服务日志”、“Microsoft、Windows”。 日志通道 (节点) 因计算机和组件而异：

• MBAM：客户端计算机上的 BitLocker 管理代理
• MBAM-Web：
  • 管理点上的恢复服务
  • 自助服务门户
  • 管理和监视网站

有关这些日志中特定消息的详细信息，请参阅以下文章：

• 客户端事件日志
• 服务器事件日志

在每个节点中，默认情况下会看到两个日志通道：管理员和操作。 有关更详细的故障排除信息，还可以显示 分析和调试日志。

日志属性

在 Windows 事件查看器中，选择特定日志。 例如，管理员。转到“操作”菜单，然后选择“属性”。 配置以下设置：

• 最大日志大小 (KB) ：默认情况下，此设置 1028 为所有日志 (1 MB) 。
• 达到最大事件日志大小时：默认情况下，管理员和操作日志设置为“根据需要覆盖事件”， (最早的事件首先) 。

分析和调试日志

可以启用更详细的日志以进行故障排除。 在事件查看器中，转到“视图”菜单，然后选择“显示分析和调试日志”。 现在，当你浏览到日志通道时，你将看到另外两个日志：分析和调试。

提示

默认情况下，这些日志具有以下属性：

• 最大日志大小 (KB) ： 1028 (1 MB)
• 不覆盖事件 (手动清除日志)

将日志导出为文本

尤其是使用 分析和调试日志时，你可能会发现在单个文本文件中查看日志条目更容易。 使用以下 PowerShell 命令将事件日志条目导出到文本文件：

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt