BitLocker 事件日志

适用于: Configuration Manager(current branch)

BitLocker 管理代理和 Web 服务使用 Windows 事件日志来记录消息。 在事件查看器中,转到“应用程序和服务日志”、“Microsoft、Windows”。 日志通道 (节点) 因计算机和组件而异:

  • MBAM:客户端计算机上的 BitLocker 管理代理
  • MBAM-Web
    • 管理点上的恢复服务
    • 自助服务门户
    • 管理和监视网站

有关这些日志中特定消息的详细信息,请参阅以下文章:

在每个节点中,默认情况下会看到两个日志通道:管理员操作。 有关更详细的故障排除信息,还可以显示 分析和调试日志

日志属性

在 Windows 事件查看器中,选择特定日志。 例如,管理员。转到“操作”菜单,然后选择“属性”。 配置以下设置:

  • 最大日志大小 (KB) :默认情况下,此设置 1028 为所有日志 (1 MB) 。
  • 达到最大事件日志大小时:默认情况下,管理员操作日志设置为“根据需要覆盖事件”, (最早的事件首先)

分析和调试日志

可以启用更详细的日志以进行故障排除。 在事件查看器中,转到“视图”菜单,然后选择“显示分析和调试日志”。 现在,当你浏览到日志通道时,你将看到另外两个日志:分析和调试

提示

默认情况下,这些日志具有以下属性:

  • 最大日志大小 (KB) 1028 (1 MB)
  • 不覆盖事件 (手动清除日志)

将日志导出为文本

尤其是使用 分析和调试日志时,你可能会发现在单个文本文件中查看日志条目更容易。 使用以下 PowerShell 命令将事件日志条目导出到文本文件:

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt