BitLocker 事件記錄

適用於：Configuration Manager (目前的分支)

BitLocker 管理代理程式和 Web 服務會使用 Windows 事件記錄檔來記錄訊息。 在事件檢視器中，移至 [應用程式和服務記錄]、[Microsoft]、[Windows]。 記錄通道 (節點) 會根據電腦和元件而有所不同：

• MBAM：用戶端電腦上的 BitLocker 管理代理程式
• MBAM-Web：
  • 管理點上的復原服務
  • 自助入口網站
  • 系統管理與監視網站

如需這些記錄中特定訊息的詳細資訊，請參閱下列文章：

• 用戶端電腦事件日誌
• 伺服器事件日誌

在每個節點中，根據預設，您會看到兩個記錄通道：管理員和Operational。 如需更詳細的疑難排解資訊，您也可以顯示 分析和偵錯記錄。

記錄屬性

在 Windows 事件檢視器中，選取特定記錄檔。 例如，管理員。移至 [動作]功能表，然後選取 [屬性]。 進行下列設定：

• 記錄大小 (KB) 上限：根據預設，此設定 1028 (所有記錄檔的 1 MB) 。
• 達到事件記錄檔大小上限時：根據預設，管理員和作業記錄會視需要設定為覆寫事件， (最舊的事件先) 。

分析和偵錯記錄

您可以啟用更詳細的記錄以進行疑難排解。 在事件檢視器中，移至 [檢視]功能表，然後選取[顯示分析和偵錯記錄]。 現在當您流覽至記錄通道時，您會看到兩個額外的記錄： 分析 和 偵錯。

提示

根據預設，這些記錄檔具有下列屬性：

• KB) (記錄檔大小上限 ： 1028 (1 MB)
• 請勿覆寫事件 (手動清除記錄)

將記錄匯出至文字

特別是使用 分析和偵錯記錄時，您可能會發現更輕鬆地檢閱單一文字檔中的記錄專案。 使用下列 PowerShell 命令將事件記錄檔專案匯出至文字檔：

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt