Windows Vista enthält zwei Kategorien von Ereignisprotokollen: Windows-Protokolle und Anwendungs- und Dienstprotokolle. Sie können die Ereignisanzeige oder das wevtutil-Befehlszeilentool verwenden, um Ereignisprotokolle zu verwalten. Wenn Sie den Befehl wevtutil verwenden, um Ereignisprotokolle zu verwalten, werden in den Nachrichten, die Sie von wevtutil erhalten, Ereignisprotokolle möglicherweise als Kanäle bezeichnet. In den meisten Fällen entsprechen Ereignisprotokolle und Kanäle einander. Weitere Informationen zu Ereignisprotokollen und Kanälen finden Sie online im Thema zu
Windows-Protokolle
Die Kategorie der Windows-Protokolle enthält die Protokolle, die auch schon unter früheren Windows-Versionen zur Verfügung standen: das Anwendungs-, Sicherheits- und Systemprotokoll. Dazu gehören auch zwei neue Protokolle: das Setupprotokoll und das ForwardedEvents-Protokoll. Die Windows-Protokolle dienen dazu, Ereignisse von älteren Anwendungen sowie Ereignisse zu speichern, die das gesamte System betreffen.
Anwendungsprotokoll
Das Anwendungsprotokoll enthält Ereignisse, die von Anwendungen oder Programmen protokolliert wurden. Von einem Datenbankprogramm könnte beispielsweise ein Dateifehler im Anwendungsprotokoll aufgezeichnet werden. Die Entwickler des jeweiligen Programms entscheiden, welche Ereignisse protokolliert werden.
Sicherheitsprotokoll
Das Sicherheitsprotokoll enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse zur Ressourcenverwendung, z. B. das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Die Administratoren entscheiden, welche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden. Wenn die Sicherheitsprotokollierung aktiviert ist, werden z.B. die Versuche, sich am System anzumelden, im Sicherheitsprotokoll aufgezeichnet.
Setupprotokoll
Das Setupprotokoll enthält Ereignisse im Zusammenhang mit der Anwendungsinstallation.
Systemprotokoll
Das Systemprotokoll enthält Ereignisse, die von den Windows-Systemkomponenten protokolliert wurden. So wird beispielsweise ein Fehler beim Laden eines Gerätetreibers oder einer anderen Systemkomponente beim Systemstart im Systemprotokoll aufgezeichnet. Die von den Systemkomponenten aufgezeichneten Ereignistypen sind durch Windows vordefiniert.
ForwardedEvents-Protokoll
Das ForwardedEvents-Protokoll wird zum Speichern von Ereignissen von Remotecomputern verwendet. Wenn Sie Ereignisse von Remotecomputern sammeln möchten, müssen Sie ein Ereignisabonnement erstellen. Weitere Informationen zu Ereignisabonnements finden Sie unter Ereignisabonnements.
Anwendungs- und Dienstprotokolle
Anwendungs- und Dienstprotokolle bilden eine neue Kategorie von Ereignisprotokollen. Diese Protokolle speichern keine Ereignisse, die systemweite Auswirkungen haben, sondern Ereignisse einzelner Anwendungen oder Komponenten.
Diese Protokollkategorie umfasst vier Untertypen: Verwaltungs-, Betriebs-, analytische und Debugprotokolle. Ereignisse in Verwaltungsprotokollen sind vor allem für IT-Professionals interessant, die die Ereignisanzeige zur Problembehandlung verwenden. Ereignisse in Verwaltungsprotokollen geben Ihnen Richtlinien zur Reaktion darauf an die Hand. Ereignisse im Betriebsprotokoll sind ebenfalls für IT-Professionals nützlich, erfordern meistens aber eine gründlichere Interpretation.
Verwaltungs- und Debugprotokolle sind nicht sehr benutzerfreundlich. Analytische Protokolle speichern Ereignisse, die ein Problem nachverfolgen. Häufig werden dabei sehr viele Ereignisse aufgezeichnet. Debugprotokolle werden von Entwicklern beim Debuggen von Anwendungen verwendet. Analytische und Debugprotokolle sind standardmäßig ausgeblendet und deaktiviert. Um diese Protokolle sichtbar zu machen, führen Sie die Schritte unter Ein- und Ausblenden von analytischen und Debugprotokollen aus. Um diese Protokolle zu aktivieren, führen Sie die Schritte unter Aktivieren von analytischen und Debugprotokollen aus.
Verwaltungsprotokolle
Diese Ereignisse richten sich hauptsächlich an Endbenutzer, Administratoren und Supportpersonal. Die Ereignisse in den administrativen Kanälen zeigen ein Problem und eine genau definierte Lösung an, die ein Administrator durchführen kann. Ein Beispiel dafür ist ein Ereignis, das auftritt, wenn eine Anwendung keine Verbindung mit einem Drucker aufnehmen kann. Diese Ereignisse sind entweder gut dokumentiert oder mit einer Meldung verknüpft, sodass Sie Anweisungen erhalten, um zu erfahren, wie Sie das Problem lösen können.
Betriebsprotokolle
Betriebsereignisse werden für die Analyse und Diagnose eines Problems oder Umstands verwendet. Sie können verwendet werden, um je nach dem Problem oder dem Umstand bestimmte Tools oder Aufgaben auszulösen. Ein Beispiel dafür ist ein Ereignis, das auftritt, wenn ein Drucker zu einem System hinzugefügt oder aus ihm entfernt wird.
Analytische Protokolle
Analytische Ereignisse werden in großen Mengen veröffentlicht. Sie beschreiben Programmoperationen und zeigen Probleme an, die sich durch einen Benutzereingriff nicht lösen lassen.
Debugprotokolle
Debugereignisse werden von Entwicklern verwendet, um Probleme in ihren Programmen zu beheben.
XML-basierte Infrastruktur
Die zugrunde liegende Infrastruktur der Ereignisprotokollierung wurde in Windows Vista völlig umgestaltet. Die Informationen über die einzelnen Ereignisse gehorchen einem XML-Schema, sodass Sie die XML-Darstellung eines gegebenen Ereignisses einsehen können. Sie können auch XML-Abfragen an Ereignisprotokollen durchführen. Um diese neuen Möglichkeiten nutzen zu können, müssen Sie nichts über XML wissen. In der Ereignisanzeige können Sie in einem einfach zu verwendenden grafischen Format auf diese Funktionalität zugreifen.