Benutzerdefinierte Protokollbenachrichtigungen der Windows-Ereignisanzeige haben mein Debugging-Spiel verbessert

/de/images/windows-11-bsod.jpg

Wenn ich Probleme mit meinem Windows-PC habe, kann das schnell ermüdend sein. Als ich auf den Blue Screen of Death (BSOD) starre, ist es bereits zu spät. Das Nachschlagen eines kryptischen STOP-Codes weist mich vielleicht in die richtige Richtung, hilft mir aber nicht, das Problem zu erkennen, bevor es katastrophal wird. Selbst wenn das System nicht vollständig abstürzt, bleibt mir ein seltsamer Fehler und die wenig beneidenswerte Aufgabe, die Protokolle der Ereignisanzeige zu durchsuchen. Dies ist zwar ein großartiger Ort, um Schuldige zu fangen, aber es protokolliert auch alles, was mein System tut, und es gibt jede Menge Debugging- und Sicherheits-Suites, die einen hübschen Cent kosten, weil sie wissen, wo ich nach den Nadeln im Heuhaufen suchen muss, wenn mein PC bereits so weit kaputt ist, dass ich keine andere Wahl habe, als nach dieser Grundursache zu suchen.

Die Ereignisanzeige protokolliert alles. Anwendungsabstürze, Sicherheitsupdates, Treiberfehler, Systemabschaltungen, Anmeldeversuche – was auch immer, es ist drin. Es ist ein unverzichtbares Tool zum Debuggen, nachdem bereits etwas schrecklich schief gelaufen ist. Es stellt sich heraus, dass Windows bereits über alle Tools verfügt, die ich brauche, um Warnungen einzurichten, sobald ein wichtiger Dienst nicht startet oder eine bestimmte Anwendung abstürzt. Ich musste nur noch einmal auf einen bekannten Produktivitätsfavoriten zurückgreifen: den Aufgabenplaner.

Windows-Debugging sollte kein reaktiver Albtraum sein

Feuer beim Anblick eines Funkens bekämpfen

Ich hatte bereits einige Erfolge damit, den Windows-Taskplaner für die grundlegende Produktivität zu verwenden, z. B. um alle meine Arbeitsanwendungen um 9 Uhr zu starten. Das brachte mich zum Nachdenken: Wenn der Taskplaner die Uhr überwachen kann, kann er dann auch andere Systemereignisse überwachen? Ein kurzer Blick auf die Benutzeroberfläche bestätigte meine Vermutung. Warum habe ich auf einen Absturz gewartet, um die Protokolle zu durchsuchen? Ich könnte meine eigenen benutzerdefinierten Benachrichtigungen für auftretende Anomalien einrichten. Die meisten von uns kennen den grundlegenden Windows-Taskplaner zum Starten einer App beim Anmelden, aber er kann auch die Ereignisanzeige überwachen, sofern Sie die Ereignis-IDs angeben, auf die er achten muss. Nachdem ich es verwendet habe, würde ich sagen, dass diese Kombination aus Ereignisanzeige und Taskplaner ein Kernwerkzeug im Arsenal jedes ernsthaften Debuggers ist, und die Einrichtung ist überraschend unkompliziert, wenn man die magischen Zahlen kennt.

Es gibt viele Systemüberwachungsprogramme von Drittanbietern, die versprechen, den Zustand Ihres Systems zu überwachen und Ihnen Warnungen zu senden. Viele davon sind großartig, aber sie kosten Geld – oft als wiederkehrendes Abonnement. Mir wurde schnell klar, dass viele dieser teuren Tools einfach auf den gleichen Funktionen aufbauen, die bereits in Windows vorhanden sind. Sie fügen lediglich eine schicke Benutzeroberfläche über die Auslöser des Taskplaners und berechnen Ihnen die Mühe, eine lange Liste von Ereignis-IDs zusammenzustellen, die für die meisten Benutzer von Bedeutung wären.

Ich würde lieber mein Geld behalten und 15 Minuten damit verbringen, es selbst aufzubauen, vielen Dank.

So bringen Sie dem Taskplaner bei, auf Sie aufzupassen

Versteckt in Sichtweite

/de/images/windows-task-scheduler-event-log-trigger.png

Um einen Ereignisanzeige-Watcher einzurichten, habe ich den Taskplaner geöffnet, auf Aufgabe erstellen (nicht auf Basisaufgabe erstellen) geklickt und ihm einen Namen und eine Beschreibung gegeben. Dann ging ich zur Registerkarte „Auslöser“, klickte auf „Neu“ und wählte im Dropdown-Menü „Aufgabe beginnen“ die Option „Bei einem Ereignis“ aus. Jetzt muss ich drei Felder ausfüllen, die den Eintrag in der Ereignisanzeige lokalisieren, nämlich Log , Source und Event ID. Die Ereignis-ID ist der Schlüssel. Normalerweise finden Sie diese, indem Sie Ihre Protokolle durchsehen, nachdem ein Problem einmal aufgetreten ist. So wissen Sie, was Sie in Zukunft verfolgen müssen. Hier sind ein paar gängige, die ich für das Debuggen bzw. die Sicherheit unglaublich nützlich fand:

Problemtyp

|

Protokollname

|

Quelle

|

Ereignis-ID

|

Beschreibung zum Debuggen—|—|—|—|—Anwendungsabsturz

|

Bewerbung

|

Anwendungsfehler

|

1000

|

Ein häufiger Absturzindikator, der den fehlerhaften EXE- oder DLL-Namen und eine Speicheradresse in einem Absturzspeicherauszug angibt

Anwendung hängt

|

Bewerbung

|

Anwendung hängt

|

1002

|

Beschreibt die Anwendung, die nicht mehr auf Windows reagiert, und verweist auf den Code oder das Drittanbietermodul, bei dem die Ausführung hängen bleibt.

Dienstausfall

|

System

|

Dienstkontrollmanager

|

7000

|

Beschreibt die spezifische Abhängigkeit oder den Fehlercode, der den Start des Windows-Dienstes verhindert hat, z. B. eine fehlende Datei, ein Registrierungsfehler oder eine Zeitüberschreitung.

Der Dienst wurde gestoppt

|

System

|

Dienstkontrollmanager

|

7036

|

Eine Warnung, wenn ein kritischer Hintergrundprozess wie eine Datenbank oder eine benutzerdefinierte App-Komponente stoppt.

Festplatten-/E/A-Probleme

|

System

|

Festplatte oder NTFS

|

129

|

Es wurde ein Reset auf das Gerät ausgegeben, was auf eine Zeitüberschreitung des Speichercontrollers oder ein Problem mit der physischen Festplatte hinweist, das dazu führen kann, dass Anwendungen hängen bleiben oder Daten beschädigt werden.

Gruppenrichtlinienfehler

|

System

|

Microsoft-Windows-GroupPolicy

|

1058

|

Windows konnte nicht auf die GPT.ini-Datei für ein Gruppenrichtlinienobjekt zugreifen, was möglicherweise zu Fehlkonfigurationen des Systems, Berechtigungsproblemen und Anwendungsfehlern führte.

Treiberfehler

|

System

|

Service Control Manager oder Kernel-PnP

|

7023

|

Ein Dienst oder Gerätetreiber wurde mit einem dienstspezifischen Fehler beendet oder ein Treiber konnte nicht geladen werden, was auf Komponentenfehler auf Kernelebene hindeutet.

Anmeldung fehlgeschlagen

|

Sicherheit

|

Microsoft-Windows-Sicherheitsüberwachung

|

4625

|

Ein schwerwiegendes Sicherheitsereignis, das häufig auf Brute-Force-Versuche hinweist

Benutzerkonto gesperrt

|

Sicherheit

|

Microsoft-Windows-Sicherheitsüberwachung

|

4740

|

Weist auf einen möglichen Angriff oder Benutzerfehler hin, der sofortige Aufmerksamkeit erfordert.

Audit-Protokoll gelöscht

|

System

|

Ereignisprotokoll

|

1102

|

Ein kritisches Sicherheitsereignis – dies ist oft ein Zeichen für einen Vertuschungsversuch eines Angreifers.

Unerwartetes Herunterfahren des Systems

|

System

|

Kernel-Power

|

41

|

Das System wurde ohne ordnungsgemäßes Herunterfahren neu gestartet, was auf einen Absturz oder Stromausfall hinweist.

Um Benachrichtigungen einzurichten, wenn einer dieser Auslöser ausgelöst wird, brauchte ich ein Skript, da Microsoft in seiner unendlichen Weisheit veraltete Optionen zum Senden einer E-Mail-Benachrichtigung und zum Anzeigen einer Warnung auf dem Bildschirm hat. Dies geschieht auf der Registerkarte „Aktionen“. Ich wähle die einzige verbleibende Option namens Start a program aus und verweise sie auf ein einfaches benutzerdefiniertes PowerShell-Skript. Dieses Skript kann alles. Für meine kritischen Sicherheitswarnungen (wie die fehlgeschlagene Anmeldung mit der ID 4625) habe ich ein einfaches PowerShell-Skript, das mir E-Mails sendet.

Dies ist ideal für Netzwerkadministratoren, die Remote-Systeme verwalten. Für weniger kritische Dinge, wie einen App-Absturz (ID 1001), könnten Sie ein Skript verwenden, das einfach eine Meldung auf dem Bildschirm anzeigt. Der Punkt ist, dass Sie die Aktion steuern, von einem einfachen Popup bis hin zu einer komplexen automatisierten Fehlerbehebung.

Verbringen Sie einen Nachmittag damit, geistig gesund und Ihr System stabil zu bleiben

Dieses gesamte Setup schafft ein unglaublich robustes System, das auf jedem modernen Windows-PC direkt auf Betriebssystemebene funktioniert. Sie müssen keine aufwendigen, teuren Programme von Drittanbietern installieren, um diese Annehmlichkeiten nutzen zu können. Sobald Sie Aufgaben für die kritischen Ereignisse konfiguriert haben, die Ihnen wichtig sind, können Sie endlich aufhören, mit Falkenaugen durch die Ereignisanzeige zu scrollen. Ich atmete erleichtert auf, da ich wusste, dass meine benutzerdefinierte Echtzeitüberwachungslösung funktioniert, und sie hat meine Debugging-Strategie völlig verändert.

*️⃣ Quelllink:

Durchsuchen von Ereignisanzeigeprotokollen, vertrauter Produktivitätsfavorit, Erfolg mit Windows Taskplaner, Ereignisanzeige, benutzerdefiniertem PowerShell-Skript,