Windows 11: An- und Abstecken im Log erkennen – So geht’s

An- und Abstecken von USB-Geräten und Peripherie in Windows 11 im Event-Log erkennen: Erfahren Sie Schritt für Schritt, wie Sie Verbindungen nachverfolgen.

Wer in Windows 11 nachvollziehen möchte, wann ein Gerät angedockt oder abgesteckt wurde, findet die Antwort im Windows-Ereignisprotokoll. Dort speichert das System jeden Anschluss- und Trennvorgang mit Zeitstempel und Ereignis-ID.

Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie solche Einträge in der Ereignisanzeige, per PowerShell und mit ergänzenden Tools zuverlässig finden und auswerten.

Was bedeutet „Andocken“ und „Abstecken“ in Windows 11?

In Windows 11 bezeichnet Andocken (englisch: „docking“) den Vorgang, bei dem ein Gerät – zum Beispiel ein USB-Stick, eine Dockingstation, ein Monitor oder ein Thunderbolt-Hub – an den Computer angeschlossen wird. Abstecken (englisch: „undocking“) ist der umgekehrte Vorgang, also das Trennen dieses Geräts. Beide Ereignisse werden vom Betriebssystem automatisch protokolliert, sodass Sie im Nachhinein genau nachvollziehen können, wann welches Gerät verbunden oder entfernt wurde.

Das ist besonders relevant für Laptops mit Dockingstationen, da diese beim An- und Abstecken mehrere Geräte gleichzeitig hinzufügen oder entfernen. Außerdem ist es für IT-Administratoren, Sicherheitsbeauftragte und technisch versierte Nutzer wichtig, diese Ereignisse lückenlos nachzuverfolgen. Zudem kann das Erkennen solcher Vorgänge hilfreich sein, wenn Gerätefehler auftreten, die zeitlich mit einem Anschluss- oder Trennvorgang zusammenhängen.

Warum ist das Protokollieren von Dock-Ereignissen wichtig?

Das Ereignisprotokoll von Windows 11 ist kein bloßes Hilfsmittel für Entwickler. Stattdessen bietet es für viele Nutzer und Administratoren handfeste Vorteile:

• Fehlerbehebung: Tritt ein Problem kurz nach dem Anschließen eines Geräts auf, lässt sich durch das Log der genaue Zeitpunkt des Ereignisses bestimmen.
• Sicherheitsaudit: In Unternehmensumgebungen ist es oft Pflicht nachzuvollziehen, wer wann welches Gerät angeschlossen hat – besonders bei USB-Sticks oder externen Festplatten.
• Automatisierung: Mit dem Aufgabenplaner können Sie Windows 11 so konfigurieren, dass beim An- oder Abstecken eines bestimmten Geräts automatisch ein Skript oder eine Aktion ausgeführt wird.
• Diagnosezwecke: Außerdem helfen die Logs dabei, instabile Treiber oder fehlerhafte Hardware zu identifizieren, die regelmäßig Verbindungsunterbrechungen verursachen.

Deshalb lohnt es sich, das Windows-Protokollsystem zu verstehen und gezielt einzusetzen.

Das Windows-Ereignisprotokoll: Grundlagen verstehen

Das Ereignisprotokoll (englisch: „Windows Event Log“) ist die zentrale Datenbank, in der Windows 11 alle relevanten Systemereignisse speichert. Es gliedert sich in verschiedene Protokollkategorien:

Systemprotokoll: Hier finden sich Ereignisse des Betriebssystemkerns, von Treibern und Systemdiensten – und damit auch die meisten Geräteereignisse beim An- und Abstecken.

Anwendungsprotokoll: Dort werden Ereignisse von installierten Programmen gespeichert.

Setup-Protokoll: Dieses Protokoll enthält Einträge zur Geräteeinrichtung, zum Beispiel beim erstmaligen Anschließen neuer Hardware.

Weiteres wichtiges Protokoll: Unter „Anwendungs- und Dienstprotokolle“ > „Microsoft“ > „Windows“ > „Kernel-PnP“ > „Operational“ finden sich besonders detaillierte Einträge zu Plug-and-Play-Ereignissen (PnP). PnP steht für „Plug and Play“ und ist die Technologie, durch die Windows Geräte automatisch erkennt, einrichtet und protokolliert.

Jedes Ereignis besitzt eine eindeutige Ereignis-ID, einen Zeitstempel, eine Quelle und eine Beschreibung. Zusammen ermöglichen diese Informationen eine präzise Analyse aller An- und Abstekvorgänge.

Wichtige Ereignis-IDs für An- und Absteckvorgänge

Das gezielte Suchen nach bestimmten Ereignis-IDs ist der effizienteste Weg, um Dock-Vorgänge im Protokoll zu finden. Die folgenden IDs sind dabei besonders relevant:

Ereignis-ID 400 – Kernel-PnP (Gerät konfiguriert): Diese ID erscheint, wenn Windows 11 ein neu angeschlossenes Gerät erkennt und konfiguriert. Deshalb ist sie ein zuverlässiger Indikator für einen Andockvorgang.

Ereignis-ID 410 – Kernel-PnP (Gerät gestartet): Zusätzlich protokolliert Windows mit dieser ID, wenn ein Gerät nach dem Anschließen erfolgreich gestartet wurde.

Ereignis-ID 430 – Kernel-PnP (Gerät gestoppt): Diese ID erscheint, wenn ein Gerät deaktiviert oder sicher entfernt wird – also beim Abstecken.

Ereignis-ID 2003 – Kernel-PnP: Ebenso relevant ist diese ID, die auf eine Änderung im Gerätestatus hinweist.

Ereignis-ID 7045 – System (Neuer Dienst installiert): Manche Dockingstationen installieren beim ersten Anschluss Dienste. Deshalb kann auch diese ID nützlich sein.

Ereignis-ID 20001, 20003 – Microsoft-Windows-UserPnP: Diese IDs erscheinen, wenn ein Gerät durch den Nutzer oder automatisch installiert bzw. deinstalliert wird.

Ereignis-ID 6006 und 6005: Zwar beziehen sich diese IDs auf Systemstarts und -stopps, jedoch sind sie nützlich, um An- und Absteckvorgänge zeitlich einzuordnen.

Außerdem gibt es bei Laptops mit integrierten Dockingmechanismen spezifische ACPI-Ereignisse (Advanced Configuration and Power Interface), die den Zustand der Dockingverbindung melden.

Die Ereignisanzeige in Windows 11 öffnen und nutzen

Die Ereignisanzeige (englisch: „Event Viewer“) ist das integrierte Werkzeug von Windows 11, um alle Protokolleinträge grafisch zu durchsuchen. So öffnen Sie sie:

Methode 1 – Über das Startmenü:

1. Drücken Sie die Windows-Taste.
2. Tippen Sie „Ereignisanzeige“.
3. Klicken Sie auf das Ergebnis, um die Anwendung zu öffnen.

Methode 2 – Per Tastenkombination:

1. Drücken Sie gleichzeitig Windows + R.
2. Geben Sie eventvwr.msc ein.
3. Bestätigen Sie mit Enter.

Sobald die Ereignisanzeige geöffnet ist, navigieren Sie im linken Bereich wie folgt, um Kernel-PnP-Ereignisse zu finden:

Anwendungs- und Dienstprotokolle → Microsoft → Windows → Kernel-PnP → Operational

Dort sehen Sie alle PnP-relevanten Einträge. Außerdem finden Sie im Systemprotokoll unter „Windows-Protokolle → System“ allgemeine Geräteereignisse.

Benutzerdefinierte Ansicht erstellen – Schritt für Schritt

Um gezielt nur An- und Absteckereignisse anzuzeigen, empfiehlt es sich, eine benutzerdefinierte Ansicht zu erstellen:

1. Klicken Sie im linken Bereich auf „Benutzerdefinierte Ansichten“.
2. Wählen Sie rechts „Benutzerdefinierte Ansicht erstellen …“.
3. Im Dialog wählen Sie bei „Protokolliert“ den gewünschten Zeitraum, zum Beispiel „Letzte 24 Stunden“.
4. Unter „Ereignisebenen“ aktivieren Sie „Informationen“, „Warnung“ und „Fehler“.
5. Klicken Sie auf „Nach Protokoll“ und wählen Sie unter „Ereignisprotokolle“ die Option „System“ sowie zusätzlich „Microsoft-Windows-Kernel-PnP/Operational“.
6. Tragen Sie im Feld „Ereignis-IDs einschließen/ausschließen“ die relevanten IDs ein, zum Beispiel: 400, 410, 430, 2003, 20001, 20003.
7. Klicken Sie auf OK und vergeben Sie einen Namen, zum Beispiel „Dock-Ereignisse“.

Danach finden Sie Ihre benutzerdefinierte Ansicht jederzeit im linken Bereich unter „Benutzerdefinierte Ansichten“. Zudem können Sie jeden Eintrag anklicken, um Details wie Gerätebeschreibung, Instanzpfad und Zeitstempel einzusehen.

PowerShell: An- und Absteckvorgänge per Skript auslesen

PowerShell ist in Windows 11 integriert und ermöglicht eine besonders schnelle und flexible Auswertung der Ereignisprotokolle. Deshalb ist es für technisch versierte Nutzer das empfohlene Werkzeug.

PowerShell als Administrator öffnen

1. Drücken Sie Windows + X.
2. Wählen Sie „Windows PowerShell (Administrator)“ oder „Terminal (Administrator)“.
3. Bestätigen Sie die Benutzerkontensteuerung mit „Ja“.

Kernel-PnP-Ereignisse abfragen

Geben Sie folgenden Befehl ein, um die letzten 50 Einträge aus dem Kernel-PnP-Protokoll abzurufen:

Get-WinEvent -LogName "Microsoft-Windows-Kernel-PnP/Operational" -MaxEvents 50 | Format-List TimeCreated, Id, Message

Dadurch erhalten Sie eine übersichtliche Liste mit Zeitstempel, Ereignis-ID und Beschreibung. Außerdem können Sie mit dem folgenden Befehl nur bestimmte Ereignis-IDs filtern:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-PnP/Operational'; Id=400,410,430} | Select-Object TimeCreated, Id, Message | Format-List

Systemprotokoll nach Geräteverbindungen durchsuchen

Zusätzlich können Sie das Systemprotokoll gezielt durchsuchen:

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7000,7001,7045,20001,20003} | Select-Object TimeCreated, Id, Message | Format-List

Ergebnisse in eine Datei exportieren

Wenn Sie die Ergebnisse archivieren oder weitergeben möchten, exportieren Sie sie per PowerShell in eine CSV-Datei:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-PnP/Operational'; Id=400,410,430} | Select-Object TimeCreated, Id, Message | Export-Csv -Path "C:\Logs\DockEreignisse.csv" -NoTypeInformation -Encoding UTF8

Dadurch entsteht eine strukturierte Tabelle, die Sie zum Beispiel in Microsoft Excel öffnen und weiterverarbeiten können.

Den Aufgabenplaner nutzen: Automatisch auf Dock-Ereignisse reagieren

Windows 11 bietet mit dem Aufgabenplaner (englisch: „Task Scheduler“) die Möglichkeit, auf bestimmte Ereignis-IDs automatisch zu reagieren. Das ist besonders nützlich, wenn Sie zum Beispiel beim Andocken einer Dockingstation automatisch ein Skript starten möchten.

Aufgabe für Andockereignis einrichten – Schritt für Schritt

1. Öffnen Sie den Aufgabenplaner über die Suche im Startmenü.
2. Klicken Sie rechts auf „Aufgabe erstellen …“ (nicht „Einfache Aufgabe erstellen“).
3. Vergeben Sie einen Namen, zum Beispiel „Reaktion auf Andocken“.
4. Wechseln Sie zur Registerkarte „Trigger“ und klicken Sie auf „Neu …“.
5. Wählen Sie im Dropdown-Menü „Bei einem Ereignis“.
6. Stellen Sie folgende Werte ein:

• Protokoll: Microsoft-Windows-Kernel-PnP/Operational
• Ereignis-ID: 400

1. Klicken Sie auf OK.
2. Wechseln Sie zur Registerkarte „Aktionen“ und klicken Sie auf „Neu …“.
3. Wählen Sie „Programm starten“ und geben Sie das gewünschte Skript oder Programm an.
4. Bestätigen Sie alle Dialoge mit OK.

Dadurch wird Ihre Aufgabe zuverlässig ausgeführt, sobald Windows 11 ein Gerät nach dem Anschließen konfiguriert. Ebenso können Sie für die Ereignis-ID 430 eine Aufgabe für den Absteckvorgang einrichten.

Den Geräte-Manager zur Diagnose einsetzen

Der Geräte-Manager (englisch: „Device Manager“) zeigt in Windows 11 alle angeschlossenen Geräte und ihre Treiberstatus an. Er ist zwar kein direktes Log-Tool, jedoch liefert er wertvolle Zusatzinformationen beim Diagnostizieren von An- und Absteckproblemen.

Geräte-Manager öffnen

1. Drücken Sie Windows + X.
2. Wählen Sie „Geräte-Manager“.

Dort sehen Sie alle Geräte. Außerdem können Sie durch einen Rechtsklick auf ein Gerät und Auswahl von „Eigenschaften“ → Registerkarte „Ereignisse“ die letzten Ereignisse zu genau diesem Gerät einsehen – inklusive Zeitstempel.

Das ist besonders hilfreich, wenn Sie ein bestimmtes Gerät im Verdacht haben, Probleme beim Andocken zu verursachen. Deshalb sollten Sie den Geräte-Manager immer als ergänzendes Werkzeug zur Ereignisanzeige nutzen.

Dockingstation-Protokolle: Besonderheiten bei Thunderbolt und USB-C

Bei modernen Laptops mit Thunderbolt 4– oder USB4-Dockingstationen entstehen beim Andocken besonders viele Einzelereignisse, da gleichzeitig mehrere Geräte – Monitor, Netzwerk, USB-Hub, Audio – angeschlossen werden. Deshalb erscheinen im Protokoll dann oft Dutzende von Einträgen innerhalb weniger Sekunden.

Außerdem gibt es unter Windows 11 ein spezielles Protokoll für Thunderbolt-Ereignisse:

Pfad in der Ereignisanzeige: Anwendungs- und Dienstprotokolle → Microsoft → Windows → Thunderbolt → Operational

Dort finden Sie Einträge speziell zur Thunderbolt-Verbindung, inklusive Authentifizierungsstatus und Verbindungsgeschwindigkeit. Zudem protokolliert Windows 11 bei Thunderbolt-Geräten auch Sicherheitsereignisse, zum Beispiel ob ein Gerät vertrauenswürdig eingestuft wurde.

Für USB-C-Dockingstationen ohne Thunderbolt sind hingegen die Kernel-PnP-Protokolle die primäre Quelle. Deshalb sollten Sie je nach Dockingstation das passende Protokoll auswählen.

Drittanbieter-Tools für erweiterte Log-Analyse

Neben den integrierten Windows-Werkzeugen gibt es empfehlenswerte Drittanbieter-Tools, die das Lesen und Analysieren von Ereignisprotokollen deutlich erleichtern.

Empfehlung 1: NirSoft FullEventLogView

FullEventLogView von NirSoft ist ein kostenloses, portables Werkzeug, das alle Windows-Ereignisprotokolle in einer übersichtlichen Tabelle anzeigt. Es bietet außerdem leistungsstarke Filterfunktionen und erlaubt den Export in verschiedene Formate.

So nutzen Sie FullEventLogView:

1. Laden Sie das Programm von der offiziellen NirSoft-Website herunter (nirsoft.net/utils/full_event_log_view.html).
2. Entpacken Sie die ZIP-Datei und starten Sie FullEventLogView.exe – keine Installation nötig.
3. Gehen Sie zu „Optionen“ → „Erweiterte Optionen“.
4. Wählen Sie unter „Datenquelle“ das lokale Protokoll oder ein gespeichertes Protokoll.
5. Nutzen Sie den Filter (F6) und geben Sie die gewünschten Ereignis-IDs ein, zum Beispiel 400;410;430.
6. Klicken Sie auf „OK“ – die gefilterte Liste erscheint sofort.

Außerdem ermöglicht FullEventLogView das Durchsuchen von Protokollen auf Remote-Computern, was es zum idealen Tool für IT-Administratoren macht.

Empfehlung 2: SysInternals Process Monitor (ProcMon)

Process Monitor aus der Microsoft SysInternals-Suite protokolliert in Echtzeit alle System-, Registry- und Netzwerkaktivitäten. Deshalb eignet er sich hervorragend, um den exakten Moment des Andockens in höchster Detailtiefe zu verfolgen.

So nutzen Sie Process Monitor für Dock-Ereignisse:

1. Laden Sie Process Monitor unter learn.microsoft.com/en-us/sysinternals/downloads/procmon herunter.
2. Starten Sie Procmon.exe als Administrator.
3. Klicken Sie auf „Filter“ → „Filter …“ (Strg+L).
4. Fügen Sie einen Filter hinzu: „Process Name“ → „enthält“ → svchost – damit reduzieren Sie das Log auf Systemdienste.
5. Zusätzlich filtern Sie nach „Category“ → „ist“ → „Device“, um nur gerätebezogene Ereignisse zu sehen.
6. Schließen oder öffnen Sie nun Ihre Dockingstation – Process Monitor zeichnet alle resultierenden Ereignisse auf.

Zudem können Sie das gesamte Log als CSV oder PML-Datei speichern und später analysieren.

Empfehlung 3: Windows Admin Center

Für Unternehmensumgebungen empfiehlt sich das kostenlose Windows Admin Center von Microsoft. Es ermöglicht eine zentrale Verwaltung mehrerer Windows-11-Systeme und bietet unter anderem eine Protokollübersicht. Deshalb ist es besonders für IT-Teams geeignet, die An- und Absteckereignisse auf vielen Geräten gleichzeitig überwachen müssen.

Häufige Probleme und deren Lösung

Problem 1: Kernel-PnP-Protokoll ist leer

Manchmal erscheint das Protokoll „Microsoft-Windows-Kernel-PnP/Operational“ leer, obwohl Geräte angeschlossen wurden. Deshalb sollten Sie prüfen, ob das Protokoll aktiviert ist:

1. Klicken Sie in der Ereignisanzeige mit der rechten Maustaste auf „Microsoft-Windows-Kernel-PnP/Operational“.
2. Wählen Sie „Protokoll aktivieren“.
3. Stecken Sie danach ein Gerät an und wiederholen Sie die Suche.

Problem 2: Ereignisse fehlen nach langer Zeit

Windows 11 überschreibt ältere Protokolleinträge, sobald die maximale Protokollgröße erreicht ist. Deshalb empfiehlt es sich, die Protokollgröße zu erhöhen:

1. Rechtsklick auf das gewünschte Protokoll in der Ereignisanzeige.
2. „Eigenschaften“ wählen.
3. Erhöhen Sie die maximale Protokollgröße, zum Beispiel auf 20 MB oder mehr.
4. Wählen Sie unter „Wenn die maximale Protokollgröße erreicht ist“ die Option „Ereignisse nach Bedarf archivieren“.

Problem 3: Keine Ereignisse beim Abstecken

Manche Dockingstationen erzeugen beim Abstecken keinen sauberen Protokolleintrag, wenn das Gerät ohne „Sicher entfernen“ getrennt wird. Deshalb sollten Sie in Windows 11 immer die Funktion „Hardware sicher entfernen“ in der Taskleiste nutzen, bevor Sie Geräte abstecken. Außerdem erzeugt ein sicheres Entfernen zuverlässig die Ereignis-ID 430 im Kernel-PnP-Protokoll.

Problem 4: Zu viele Einträge, unübersichtlich

Beim Einsatz einer Thunderbolt-Dockingstation entstehen oft Hunderte von Einträgen innerhalb von Sekunden. Deshalb empfiehlt es sich, die Suche zeitlich einzuschränken – zum Beispiel auf ein Fenster von 30 Sekunden rund um den vermuteten Andockzeitpunkt – und zusätzlich nach dem Gerätenamen zu filtern.

An- und Absteckereignisse mit Gruppenrichtlinien protokollieren (Unternehmensumgebung)

In Unternehmensumgebungen lässt sich die Protokollierung von Geräteverbindungen zusätzlich über Gruppenrichtlinien (GPO) steuern. Deshalb bietet Windows 11 unter „Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration“ die Option „PnP-Aktivität überwachen“.

So aktivieren Sie die PnP-Überwachung per Gruppenrichtlinie:

1. Öffnen Sie den Gruppenrichtlinien-Editor mit gpedit.msc (nur Windows 11 Pro und Enterprise).
2. Navigieren Sie zu: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Detaillierte Überwachung.
3. Öffnen Sie „PnP-Aktivität überwachen“ (englisch: „Audit PNP Activity“).
4. Aktivieren Sie „Erfolgreich“ und optional „Fehler“.
5. Bestätigen Sie mit OK.

Danach erscheinen An- und Absteckereignisse zusätzlich im Sicherheitsprotokoll (englisch: „Security Log“) unter der Ereignis-ID 6416 (Neues externes Gerät erkannt). Deshalb ist diese Einstellung besonders wichtig für Compliance-Anforderungen wie ISO 27001 oder DSGVO-konforme Protokollierung.

An- und Abstecken unter Windows 10 und älteren Systemen: Unterschiede zu Windows 11

Auch wenn dieser Artikel primär Windows 11 behandelt, stellt sich häufig die Frage, ob sich die beschriebenen Methoden auch auf Windows 10 übertragen lassen. Grundsätzlich sind die Ereignis-IDs und Protokollpfade in Windows 10 identisch, da beide Systeme denselben Kernel nutzen. Deshalb funktionieren alle beschriebenen PowerShell-Befehle und Ereignisanzeige-Schritte ebenso unter Windows 10.

Jedoch gibt es einen wichtigen Unterschied: In Windows 11 ist die Oberfläche der Ereignisanzeige leicht modernisiert, und die Thunderbolt-Protokolle sind standardmäßig aktiviert. Außerdem unterstützt Windows 11 USB4, was zu zusätzlichen Protokollkategorien führen kann. Unter Windows 10 müssen Sie das Thunderbolt-Protokoll gegebenenfalls manuell aktivieren.

Für Windows Server 2019 und 2022 gelten dieselben Methoden, jedoch sind dort die Gruppenrichtlinien-Einstellungen zur PnP-Überwachung besonders relevant, da Server häufig per Fernzugriff verwaltet werden.

Empfohlene Vorgehensweisen für zuverlässige Log-Überwachung

Damit die Protokollierung von An- und Absteckvorgängen in Windows 11 dauerhaft zuverlässig funktioniert, sollten Sie folgende Vorgehensweisen umsetzen:

1. Protokollgröße ausreichend dimensionieren: Erhöhen Sie die Protokollgröße für „Kernel-PnP/Operational“ auf mindestens 20 MB, um auch bei häufigen Gerätewechseln keine Einträge zu verlieren.

2. Regelmäßige Archivierung: Richten Sie in der Ereignisanzeige die automatische Archivierung ein, sodass alte Protokolldateien als EVTX-Dateien gespeichert werden, bevor sie überschrieben werden.

3. Benutzerdefinierte Ansichten anlegen: Erstellen Sie dauerhaft gespeicherte benutzerdefinierte Ansichten für die wichtigsten Ereignis-IDs, um schnell auf relevante Einträge zugreifen zu können.

4. PowerShell-Skripte automatisieren: Planen Sie mithilfe des Aufgabenplaners tägliche PowerShell-Exporte der relevanten Protokolleinträge als CSV-Dateien – zum Beispiel um 23:00 Uhr. Dadurch entsteht eine lückenlose Dokumentation aller Geräteereignisse.

5. PnP-Überwachung per GPO aktivieren: Besonders in Unternehmen sollten Sie die Gruppenrichtlinien-basierte PnP-Überwachung aktivieren, um alle Geräteereignisse auch im Sicherheitsprotokoll zu erfassen.

6. Dockingstations-Firmware aktuell halten: Veraltete Firmware bei Thunderbolt-Dockingstationen kann zu unvollständiger oder fehlerhafter Protokollierung führen. Deshalb sollten Sie die Firmware Ihrer Dockingstation regelmäßig aktualisieren – prüfen Sie dazu die Website des Herstellers.

Häufige Fragen zum An- und Abstecken im Windows-Log

Welche Ereignis-ID zeigt das Andocken in Windows 11 an?

Die Ereignis-ID 400 im Protokoll „Microsoft-Windows-Kernel-PnP/Operational“ ist die primäre ID für das Andocken. Zusätzlich erscheint häufig die Ereignis-ID 410, wenn das Gerät nach dem Anschließen erfolgreich gestartet wurde. Deshalb sollten Sie beide IDs bei der Suche berücksichtigen.

Wie finde ich heraus, wann ein USB-Stick zuletzt angeschlossen wurde?

Öffnen Sie die Ereignisanzeige und navigieren Sie zu „Microsoft-Windows-Kernel-PnP/Operational“. Filtern Sie dort nach der Ereignis-ID 400 und suchen Sie in den Beschreibungen nach dem Namen oder der Geräteinstanz Ihres USB-Sticks. Alternativ nutzen Sie PowerShell mit dem Befehl Get-WinEvent und filtern nach der entsprechenden ID.

Kann ich An- und Absteckvorgänge auch rückwirkend einsehen?

Ja, jedoch nur so weit zurück, wie das Protokoll Einträge gespeichert hat. Deshalb ist es wichtig, die Protokollgröße rechtzeitig zu erhöhen und eine Archivierungsstrategie einzurichten. Standardmäßig speichert Windows 11 im Kernel-PnP-Protokoll nur wenige Megabyte, was je nach Häufigkeit der Ereignisse nur Stunden oder Tage abdeckt.

Warum erscheinen beim Andocken einer Dockingstation so viele Einträge?

Eine Dockingstation beinhaltet oft mehrere logische Geräte – zum Beispiel einen USB-Hub, einen Netzwerkadapter, einen Audiocontroller und einen Displayadapter. Deshalb erzeugt jedes dieser Teilgeräte beim Andocken eigene Protokolleinträge, sodass schnell Dutzende von Einträgen entstehen.

Kann ich auf ein Dock-Ereignis automatisch reagieren lassen?

Ja, das ist mit dem Aufgabenplaner möglich. Richten Sie einen Trigger auf die gewünschte Ereignis-ID ein und verbinden Sie ihn mit einer Aktion, zum Beispiel dem Starten eines PowerShell-Skripts. Deshalb ist der Aufgabenplaner das empfohlene Werkzeug für automatische Reaktionen auf An- und Absteckvorgänge.

Funktionieren die beschriebenen Methoden auch unter Windows 10?

Ja, die Ereignis-IDs und Protokollpfade sind in Windows 10 und Windows 11 identisch. Deshalb lassen sich alle beschriebenen PowerShell-Befehle und Schritte in der Ereignisanzeige direkt übertragen. Lediglich einige Thunderbolt-spezifische Protokolle müssen unter Windows 10 gegebenenfalls manuell aktiviert werden.

Wie erkenne ich, ob ein Gerät sicher entfernt oder einfach abgesteckt wurde?

Ein sicheres Entfernen über die Windows-Funktion „Hardware sicher entfernen und Medien auswerfen“ erzeugt die Ereignis-ID 430 im Kernel-PnP-Protokoll. Deshalb lässt sich daran ablesen, ob ein Gerät ordnungsgemäß getrennt wurde. Ein hartes Abstecken ohne diesen Schritt kann hingegen andere oder unvollständige Einträge erzeugen.

Gibt es eine einfachere Alternative zur Ereignisanzeige?

Ja, FullEventLogView von NirSoft ist eine kostenlose und portable Alternative, die alle Protokolleinträge in einer übersichtlicheren Tabellenansicht zeigt und leistungsstärkere Filteroptionen bietet. Außerdem ermöglicht es einen schnellen Export der gefilterten Ergebnisse.

Welche Berechtigungen benötige ich, um die Protokolle einzusehen?

Für die meisten Protokolle, darunter das Systemprotokoll und das Kernel-PnP-Protokoll, benötigen Sie Administratorrechte. Deshalb sollten Sie die Ereignisanzeige oder PowerShell stets als Administrator öffnen, wenn Sie auf alle relevanten Einträge zugreifen möchten.

Kann ich Dock-Ereignisse auch auf einem Remote-Computer überwachen?

Ja, sowohl die Ereignisanzeige als auch PowerShell unterstützen die Verbindung zu Remote-Computern. In der Ereignisanzeige klicken Sie dazu auf „Aktion“ → „Verbindung mit anderem Computer herstellen“. Per PowerShell nutzen Sie den Parameter -ComputerName beim Befehl Get-WinEvent. Deshalb ist eine remote Protokollüberwachung ohne zusätzliche Software möglich.

Fazit

Windows 11 protokolliert An- und Absteckvorgänge zuverlässig über das Kernel-PnP-Protokoll. Deshalb genügen die Ereignisanzeige, PowerShell oder Tools wie FullEventLogView von NirSoft, um diese Ereignisse präzise auszuwerten. Mit dem Aufgabenplaner lassen sich außerdem automatische Aktionen darauf aufbauen.

Für dauerhaft lückenlose Protokollierung empfehlen sich außerdem eine erhöhte Protokollgröße, regelmäßige Archivierung und – in Unternehmen – die GPO-basierte PnP-Überwachung mit Ereignis-ID 6416 im Sicherheitsprotokoll.