Windows 11/10: Ereignisprotokolle anzeigen – So geht’s

Ereignisprotokolle in Windows 10 und 11 anzeigen: Eine Anleitung mit der Ereignisanzeige, PowerShell und CMD – Fehler, Warnungen und Infos zuverlässig auslesen.

Windows 11/10: Ereignisprotokolle anzeigen – So geht’s

Das Ereignisprotokoll in Windows 10 und Windows 11 ist ein zentrales Diagnosewerkzeug. Es zeichnet automatisch Systemereignisse, Fehler, Warnungen und Sicherheitsvorgänge auf.

Wer Abstürze, Bluescreens oder rätselhafte Leistungsprobleme analysieren möchte, findet hier wertvolle Hinweise. In diesem Artikel erfahren Sie, wie Sie die Ereignisanzeige öffnen, Protokolle lesen, filtern, exportieren und gezielt auswerten.

Was ist das Windows-Ereignisprotokoll?

Das Windows-Ereignisprotokoll ist eine Systemkomponente, die seit Windows NT fester Bestandteil jeder Windows-Version ist. Sowohl unter Windows 10 als auch unter Windows 11 läuft im Hintergrund kontinuierlich der Dienst „Windows-Ereignisprotokoll“ (englisch: Windows Event Log). Dieser Dienst erfasst dabei nahezu jeden relevanten Vorgang, der auf Ihrem System stattfindet.

Konkret protokolliert das System drei grundlegende Kategorien:

  • Systeminformationen: Treiberstarts, Dienststarts und -stopps, Hardware-Erkennungen sowie erfolgreiche Systemvorgänge.
  • Warnungen: Hinweise auf potenzielle Probleme, die noch keinen Fehler ausgelöst haben, aber Aufmerksamkeit erfordern.
  • Fehler: Kritische Ereignisse wie Anwendungsabstürze, Treiberprobleme, Bluescreens (BSOD) oder Dienste, die nicht gestartet werden konnten.

Jeder Eintrag enthält zudem eine eindeutige Ereignis-ID, einen Zeitstempel, die Quelle (also das Programm oder den Dienst, der das Ereignis ausgelöst hat), sowie eine detaillierte Beschreibung. Diese Ereignis-IDs sind besonders hilfreich: Mit der konkreten ID – zum Beispiel Ereignis-ID 41 für einen ungeplanten Neustart oder Ereignis-ID 6008 für einen unerwarteten Systemabschluss – können Sie gezielt in der Microsoft-Dokumentation oder in Suchmaschinen nach Lösungsansätzen suchen.

Darüber hinaus gibt es unter Windows sogenannte Protokollkategorien, die inhaltlich klar voneinander getrennt sind:

  • Anwendung: Ereignisse von installierten Programmen und Anwendungen.
  • Sicherheit: Anmelde- und Abmeldevorgänge, Zugriffsverletzungen und Überwachungsereignisse.
  • System: Ereignisse des Windows-Betriebssystems selbst, einschließlich Treiber und Kerndienste.
  • Setup: Protokolle zu Windows-Updates und Installationsvorgängen.
  • Weitergeleitete Ereignisse: Einträge, die von anderen Computern im Netzwerk weitergeleitet wurden.

Zusätzlich gibt es unter Anwendungs- und Dienstprotokolle spezialisierte Protokolle einzelner Microsoft-Komponenten, zum Beispiel Windows PowerShell, Windows Defender oder der Task-Planer.

Ereignisanzeige in Windows 10 und Windows 11 öffnen – 6 Methoden

Es gibt mehrere Wege, die Ereignisanzeige zu starten. Nachfolgend finden Sie alle gängigen Methoden, sortiert von schnell bis alternativ.

Methode 1: Ausführen-Dialog (schnellste Methode)

Der schnellste Weg funktioniert sowohl unter Windows 10 als auch unter Windows 11 identisch:

  1. Drücken Sie gleichzeitig Windows-Taste + R.
  2. Geben Sie eventvwr.msc ein.
  3. Bestätigen Sie mit Enter.

Die Ereignisanzeige öffnet sich sofort – ohne Administratorrechte für die reine Ansicht.

Methode 2: Über die Windows-Suche

  1. Klicken Sie auf das Suchsymbol in der Taskleiste (Windows 11) oder auf das Suchfeld neben dem Startmenü (Windows 10).
  2. Tippen Sie „Ereignisanzeige“ ein.
  3. Klicken Sie in den Suchergebnissen auf Ereignisanzeige.

Alternativ können Sie auch direkt „eventvwr“ eintippen, das Ergebnis erscheint ebenfalls.

Methode 3: Über das Startmenü (Windows 11)

  1. Öffnen Sie das Startmenü.
  2. Klicken Sie auf Alle Apps.
  3. Scrollen Sie zu Windows-Tools (früher: Verwaltung).
  4. Öffnen Sie den Ordner und klicken Sie auf Ereignisanzeige.

Methode 4: Über das Schnellzugriffsmenü (nur Windows 11 und Windows 10)

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü-Symbol.
  2. Wählen Sie Ereignisanzeige aus dem Kontextmenü.

Diese Methode ist besonders praktisch, da das Schnellzugriffsmenü direkt auf viele Verwaltungstools verweist.

Methode 5: Über die Computerverwaltung

  1. Drücken Sie Windows-Taste + X und wählen Sie Computerverwaltung.
  2. Erweitern Sie im linken Bereich den Eintrag Ereignisanzeige.

Der Vorteil: Hier haben Sie gleichzeitig Zugriff auf weitere Verwaltungstools wie den Geräte-Manager oder den Aufgabenplaner.

Methode 6: Über die Eingabeaufforderung oder PowerShell

  1. Öffnen Sie die Eingabeaufforderung oder Windows PowerShell (mit oder ohne Administratorrechte).
  2. Geben Sie eventvwr ein und drücken Sie Enter.

Auch über die Windows Terminal-App funktioniert dieser Befehl problemlos.

Aufbau der Ereignisanzeige verstehen

Nachdem Sie die Ereignisanzeige geöffnet haben, sehen Sie eine dreigeteilte Oberfläche:

  • Linker Bereich (Navigationsbaum): Hier finden Sie alle verfügbaren Protokollkategorien. Außerdem können Sie zwischen „Windows-Protokollen“, „Anwendungs- und Dienstprotokollen“ und benutzerdefinierten Ansichten wechseln.
  • Mittlerer Bereich (Ereignisliste und Details): Oben wird die Liste der Ereignisse der ausgewählten Kategorie angezeigt. Darunter erscheinen die Details des gerade ausgewählten Eintrags – inklusive Beschreibungstext und XML-Ansicht.
  • Rechter Bereich (Aktionen): Hier stehen Ihnen Funktionen wie „Aktuelle Protokolle filtern“, „Protokoll löschen“, „Protokoll speichern“ und weitere zur Verfügung.

Die XML-Ansicht ist besonders für erfahrene Anwender interessant: Sie zeigt alle technischen Details eines Ereignisses in strukturierter Form und ist ideal für automatisierte Auswertungen oder die Weitergabe an den technischen Support.

Ereignisprotokolle lesen und auswerten

Jeder Eintrag in der Ereignisliste enthält folgende Kerninformationen:

FeldBedeutung
EbeneInformationen, Warnung, Fehler, Kritisch
Datum und UhrzeitGenauer Zeitpunkt des Ereignisses
QuelleProgramm, Dienst oder Treiber
Ereignis-IDEindeutige Kennnummer des Ereignistyps
AufgabenkategorieUnterklassifizierung des Ereignisses

Wenn Sie einen Eintrag anklicken, erscheint im unteren Teil des mittleren Bereichs die ausführliche Beschreibung. Dort finden Sie meistens eine kurze Erklärung des Problems sowie technische Details.

Wichtige Ereignis-IDs im Überblick

Einige Ereignis-IDs sind besonders häufig relevant und deshalb lohnt es sich, diese zu kennen:

  • Ereignis-ID 41 (Kernel-Power): Das System wurde ohne sauberes Herunterfahren neu gestartet – häufig ein Hinweis auf einen Absturz, Stromausfall oder Überhitzung.
  • Ereignis-ID 6008: Windows hat einen unerwarteten Systemabschluss registriert. Deshalb ist dieser Eintrag oft das erste, was Sie nach einem Bluescreen sehen.
  • Ereignis-ID 1001 (Windows-Fehlerberichterstattung): Eine Anwendung oder das System hat einen Fehler protokolliert und einen Bericht erstellt.
  • Ereignis-ID 7034/7031 (Service Control Manager): Ein Dienst wurde unerwartet beendet. Außerdem kann dieser Eintrag auf fehlende Treiber oder beschädigte Systemdateien hinweisen.
  • Ereignis-ID 4625: Eine fehlgeschlagene Anmeldung wurde registriert – wichtig für Sicherheitsüberwachung.
  • Ereignis-ID 4624: Eine erfolgreiche Anmeldung wurde protokolliert. Somit lässt sich nachvollziehen, wann und wie sich jemand am System angemeldet hat.

Ereignisprotokolle filtern

Bei einem aktiven System enthält die Ereignisliste schnell Hunderte oder Tausende von Einträgen. Deshalb ist die Filterfunktion unverzichtbar, um gezielt nach relevanten Informationen zu suchen.

So filtern Sie die Ereignisanzeige:

  1. Wählen Sie im linken Bereich das gewünschte Protokoll, z. B. System oder Anwendung.
  2. Klicken Sie im rechten Aktionsbereich auf „Aktuelles Protokoll filtern…“.
  3. Es öffnet sich ein Dialogfenster. Hier können Sie filtern nach:
  • Zeitraum (z. B. letzte Stunde, letzter Tag, letzter Monat oder benutzerdefinierter Zeitraum)
  • Ereignisebene (Informationen, Warnung, Fehler, Kritisch, Ausführlich)
  • Ereignis-ID (geben Sie die gewünschte ID direkt ein)
  • Quelle (z. B. nur Einträge von „Kernel-Power“ anzeigen)
  1. Bestätigen Sie mit OK.

Alternativ können Sie unter dem Punkt „Benutzerdefinierte Ansichten“ dauerhaft gespeicherte Filteransichten anlegen. Das ist sinnvoll, wenn Sie regelmäßig dieselben Protokollbereiche überwachen möchten.

Benutzerdefinierte Ansicht erstellen

Eine benutzerdefinierte Ansicht fasst Ereignisse aus mehreren Protokollkategorien in einer einzigen gefilterten Liste zusammen. Das ist besonders hilfreich für systemweite Fehleranalysen.

Vorgehen:

  1. Klicken Sie im linken Bereich auf „Benutzerdefinierte Ansichten“.
  2. Im rechten Aktionsbereich wählen Sie „Benutzerdefinierte Ansicht erstellen…“.
  3. Legen Sie den Zeitraum, die Ereignisebenen und die betreffenden Protokolle fest.
  4. Geben Sie der Ansicht einen Namen und bestätigen Sie mit OK.

Windows legt daraufhin die Ansicht unter „Benutzerdefinierte Ansichten“ ab. Außerdem ist die bereits vorhandene Ansicht „Administrative Ereignisse“ empfehlenswert: Sie zeigt automatisch alle Fehler und Warnungen aus sämtlichen Protokollen in einer kompakten Übersicht.

Ereignisprotokolle mit PowerShell anzeigen

Neben der grafischen Benutzeroberfläche können Sie Ereignisprotokolle auch komfortabel über Windows PowerShell abfragen. Das ist besonders hilfreich für Administratoren oder fortgeschrittene Anwender, die Protokolle automatisiert auswerten möchten.

Ereignisse aus dem Systemprotokoll abrufen:

Get-WinEvent -LogName System -MaxEvents 50

Dieser Befehl gibt die letzten 50 Einträge aus dem Systemprotokoll aus.

Nur Fehler anzeigen (Level 2):

Get-WinEvent -LogName System | Where-Object { $_.Level -eq 2 } | Select-Object TimeCreated, Id, Message

Nach einer bestimmten Ereignis-ID filtern:

Get-WinEvent -LogName System | Where-Object { $_.Id -eq 41 }

Alternativ mit dem älteren Cmdlet Get-EventLog (nur klassische Protokolle):

Get-EventLog -LogName Application -Newest 100 -EntryType Error

Wichtig: Das Cmdlet Get-WinEvent ist moderner und unterstützt zusätzlich die neueren Windows-Ereignisprotokolle, die seit Windows Vista eingeführt wurden. Deshalb wird es gegenüber Get-EventLog generell empfohlen.

Ereignisprotokolle über die Eingabeaufforderung auswerten

Das Kommandozeilenwerkzeug wevtutil ist das Standardtool für Ereignisprotokolle in der Eingabeaufforderung (CMD). Es ist sowohl unter Windows 10 als auch unter Windows 11 verfügbar.

Alle verfügbaren Protokolle auflisten:

wevtutil el

Einträge aus einem Protokoll anzeigen (z. B. System):

wevtutil qe System /c:20 /f:text

Dieser Befehl gibt die letzten 20 Einträge des Systemprotokolls im Textformat aus.

Protokollinformationen abrufen:

wevtutil gl System

Damit sehen Sie Einstellungen wie die maximale Protokollgröße und den Speicherpfad des Systemprotokolls.

Ereignisprotokolle exportieren und speichern

Wenn Sie Protokolldaten sichern oder mit dem technischen Support teilen möchten, können Sie Ereignisprotokolle exportieren.

Export über die Ereignisanzeige (grafisch):

  1. Wählen Sie das gewünschte Protokoll im linken Bereich aus.
  2. Klicken Sie im rechten Aktionsbereich auf „Alle Ereignisse speichern unter…“.
  3. Wählen Sie das Dateiformat:
  • EVTX (natives Windows-Format, für erneutes Öffnen in der Ereignisanzeige empfohlen)
  • XML (für maschinelle Auswertung)
  • TXT oder CSV (für einfache Lesbarkeit)
  1. Geben Sie einen Speicherort an und bestätigen Sie.

Export per PowerShell:

wevtutil epl System C:\Logs\SystemLog.evtx

Dieser Befehl exportiert das Systemprotokoll in die Datei SystemLog.evtx im Ordner C:\Logs.

Gespeicherte Protokolle öffnen:

  1. Öffnen Sie die Ereignisanzeige.
  2. Klicken Sie im rechten Aktionsbereich auf „Gespeichertes Protokoll öffnen…“.
  3. Wählen Sie die EVTX-Datei aus. Windows fügt sie automatisch als eigene Ansicht ein.

Ereignisprotokolle löschen

Unter bestimmten Umständen – etwa nach einer Fehleranalyse, vor einer Systemübergabe oder zur Verbesserung der Übersichtlichkeit – kann es sinnvoll sein, die Ereignisprotokolle zu leeren.

Einzelnes Protokoll über die Ereignisanzeige löschen:

  1. Klicken Sie im linken Bereich mit der rechten Maustaste auf das gewünschte Protokoll, z. B. „System“.
  2. Wählen Sie „Protokoll löschen…“.
  3. Sie werden gefragt, ob Sie das Protokoll vorher speichern möchten. Bestätigen Sie entsprechend.

Alle Protokolle per PowerShell löschen:

Get-WinEvent -ListLog * | Where-Object { $_.RecordCount -gt 0 } | ForEach-Object { ::GlobalSession.ClearLog($_.LogName) }

Alternativ per Eingabeaufforderung (einzelnes Protokoll):

wevtutil cl System

Ersetzen Sie System durch den gewünschten Protokollnamen, z. B. Application oder Security.

Hinweis: Das Löschen von Sicherheitsprotokollen erfordert Administratorrechte. Zudem wird das Löschen selbst als Ereignis protokolliert – sodass es auch für spätere Revisionen nachvollziehbar bleibt.

Ereignisprotokoll-Größe und Speicherverhalten anpassen

Standardmäßig überschreibt Windows ältere Protokolleinträge automatisch, sobald die maximale Protokollgröße erreicht ist. Jedoch lässt sich dieses Verhalten anpassen.

Protokollgröße und -verhalten ändern:

  1. Öffnen Sie die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf ein Protokoll, z. B. „System“.
  2. Wählen Sie „Eigenschaften“.
  3. Passen Sie die maximale Protokollgröße an (standardmäßig 20 MB für die meisten Protokolle).
  4. Unter „Maximale Protokollgröße erreicht“ wählen Sie eines der folgenden Verhaltensweisen:
  • „Ereignisse nach Bedarf überschreiben“ (Standardeinstellung): Älteste Einträge werden automatisch gelöscht.
  • „Ereignisse nicht überschreiben“: Das Protokoll stoppt, wenn die maximale Größe erreicht ist. Nachteil: Es werden dann keine neuen Einträge mehr erfasst.
  • „Protokoll archivieren, wenn voll“: Das Protokoll wird automatisch gespeichert und ein neues wird angelegt.
  1. Bestätigen Sie mit OK.

Für produktive Systeme oder Server ist es empfehlenswert, die Protokollgröße deutlich zu erhöhen – zum Beispiel auf 100 MB oder mehr – damit ältere Ereignisse nicht zu früh überschrieben werden.

Systemabsturz analysieren – praktisches Vorgehen

Ein häufiger Anwendungsfall für die Ereignisanzeige ist die Analyse nach einem Bluescreen (BSOD) oder einem unerwarteten Neustart. Das folgende Vorgehen hat sich dabei bewährt:

Schritt 1: Öffnen Sie die Ereignisanzeige mit Windows + R und eventvwr.msc.

Schritt 2: Navigieren Sie zu Benutzerdefinierte Ansichten → Administrative Ereignisse. Hier sehen Sie sofort alle Fehler und Warnungen aus allen Protokollen.

Schritt 3: Suchen Sie nach Einträgen mit dem Zeitstempel kurz vor dem Absturz. Besonders relevant sind dabei Einträge aus der Quelle „Kernel-Power“ mit der Ereignis-ID 41.

Schritt 4: Klicken Sie auf den betreffenden Eintrag und lesen Sie die Detailbeschreibung. Häufig enthält die BugcheckCode-Information den Fehlercode des Bluescreens.

Schritt 5: Suchen Sie die konkrete Ereignis-ID zusammen mit der Quelle in der Microsoft-Dokumentation oder in einer Suchmaschine. Das liefert in den meisten Fällen konkrete Lösungsansätze.

Schritt 6: Überprüfen Sie zudem das Systemprotokoll auf Warnungen oder Fehler in den Minuten vor dem Absturz – häufig findet sich dort ein vorgelagertes Problem, z. B. ein Treiberfehler oder ein Dienst, der nicht gestartet werden konnte.

Sicherheitsereignisse überwachen

Das Sicherheitsprotokoll ist besonders für Administratoren und Anwender relevant, die wissen möchten, wer sich wann am System angemeldet hat oder ob unautorisierte Zugriffsversuche stattgefunden haben.

Anmeldeereignisse aktivieren (falls noch nicht aktiv):

Standardmäßig protokolliert Windows 10 und Windows 11 Anmeldeereignisse. Jedoch ist die detaillierte Überwachung per Gruppenrichtlinien oder Sicherheitsrichtlinien konfigurierbar.

Deshalb prüfen Sie zunächst:

  1. Öffnen Sie Lokale Sicherheitsrichtlinie über die Suche oder mit secpol.msc.
  2. Navigieren Sie zu Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie.
  3. Stellen Sie sicher, dass „Anmeldeereignisse überwachen“ auf Erfolg und Fehler eingestellt ist.

Ebenso lohnt sich die Beobachtung von Ereignis-ID 4625 (fehlgeschlagene Anmeldungen): Eine große Anzahl solcher Einträge in kurzer Zeit kann auf einen Brute-Force-Angriff hinweisen.

Ereignisprotokoll-Viewer-Tools als Alternative

Neben der integrierten Ereignisanzeige gibt es spezialisierte Drittanbieter-Tools, die eine komfortablere Analyse ermöglichen:

Empfehlung: MyEventViewer von NirSoft

MyEventViewer ist ein kostenloser und portabler Ereignisprotokoll-Viewer von NirSoft (nirsoft.net). Gegenüber der integrierten Windows-Ereignisanzeige bietet er folgende Vorteile:

  • Anzeige von mehreren Protokollen gleichzeitig in einer einzigen, sortierbaren Liste
  • Einfache Exportfunktion in CSV, HTML, XML oder TXT
  • Schnellfilter per Stichwortsuche
  • Kein Setup erforderlich – einfach starten und nutzen

Verwendung:

  1. Laden Sie MyEventViewer von der offiziellen NirSoft-Website herunter (nirsoft.net/utils/my_event_viewer.html).
  2. Entpacken Sie das ZIP-Archiv und starten Sie MyEventViewer.exe.
  3. Das Tool lädt automatisch alle verfügbaren Ereignisprotokolle.
  4. Nutzen Sie das Menü „Options → Advanced Filter“ um gezielt nach Ereignis-IDs, Quellen oder Zeiträumen zu filtern.
  5. Über „File → Save Selected Items“ exportieren Sie gefilterte Ergebnisse in Ihr gewünschtes Format.

Zusätzlich bietet NirSoft das Tool FullEventLogView, das besonders gut für die Anzeige großer Protokollmengen geeignet ist und ebenfalls kostenlos verfügbar ist.

Ereignisprotokoll unter Windows Server

Die Ereignisanzeige funktioniert unter Windows Server 2019, Windows Server 2022 und Windows Server 2025 identisch wie unter Windows 10 und Windows 11. Deshalb gelten alle beschriebenen Methoden ebenso für Server-Umgebungen.

Darüber hinaus bietet Windows Server die Möglichkeit, Ereignisse zentralisiert von mehreren Computern im Netzwerk zu sammeln. Dies geschieht über den Mechanismus der „Ereignisweiterleitung“ (Event Forwarding). Das ist besonders für Unternehmensumgebungen relevant, in denen viele Systeme gleichzeitig überwacht werden müssen.

Häufige Fragen zum Ereignisprotokoll in Windows

Was ist der Unterschied zwischen Ereignisanzeige und Ereignisprotokoll?

Das Ereignisprotokoll ist die Datenbank, in der Windows alle Systemereignisse speichert. Die Ereignisanzeige ist das grafische Programm (eventvwr.msc), mit dem Sie diese Datenbank einsehen und auswerten. Die Ereignisanzeige ist also das Werkzeug; das Ereignisprotokoll ist der Inhalt, den dieses Werkzeug darstellt.

Wie öffne ich die Ereignisanzeige als Administrator?

Suchen Sie in der Windows-Suche nach „Ereignisanzeige“, klicken Sie dann mit der rechten Maustaste auf das Suchergebnis und wählen Sie „Als Administrator ausführen“. Alternativ öffnen Sie eine PowerShell oder CMD als Administrator und geben eventvwr ein. Administratorrechte sind insbesondere dann erforderlich, wenn Sie Protokolle löschen oder auf das Sicherheitsprotokoll zugreifen möchten.

Welche Ereignis-ID zeigt einen Bluescreen in Windows an?

Ein unerwarteter Systemabsturz oder Bluescreen (BSOD) wird typischerweise durch die Ereignis-ID 41 der Quelle „Kernel-Power“ im Systemprotokoll dokumentiert. Zusätzlich erscheint nach einem solchen Ereignis meist die Ereignis-ID 6008, die auf einen unerwarteten Systemabschluss hinweist. Beide Einträge liefern in der Detailansicht wichtige technische Codes für die weitere Fehleranalyse.

Kann ich das Ereignisprotokoll löschen, ohne dass Daten dauerhaft verloren gehen?

Ja. Bevor Sie ein Protokoll löschen, bietet die Ereignisanzeige automatisch an, die Daten zuvor als EVTX-Datei zu sichern. Diese gespeicherte Datei können Sie jederzeit wieder in der Ereignisanzeige öffnen. Außerdem lässt sich das Löschen per wevtutil cl auch skriptgesteuert durchführen – jedoch ebenso nur, nachdem relevante Daten zuvor exportiert wurden.

Warum ist das Sicherheitsprotokoll leer oder nicht zugänglich?

Das Sicherheitsprotokoll erfordert zwingend Administratorrechte, um eingesehen zu werden. Öffnen Sie die Ereignisanzeige daher mit erhöhten Rechten. Zudem ist es möglich, dass die Überwachungsrichtlinien auf Ihrem System so konfiguriert sind, dass bestimmte Ereignistypen nicht protokolliert werden. Deshalb prüfen Sie die Einstellungen unter secpol.msc → Überwachungsrichtlinie.

Wie finde ich heraus, warum Windows nicht gestartet ist?

Navigieren Sie nach dem erfolgreichen Start zur Ereignisanzeige und öffnen Sie „Benutzerdefinierte Ansichten → Administrative Ereignisse“. Suchen Sie nach Fehlern kurz vor dem problematischen Zeitraum. Außerdem lohnt sich ein Blick in „Windows-Protokolle → System“ nach Einträgen der Quelle „Service Control Manager“ (fehlgeschlagene Dienste) und „Kernel-Power“ (Stromversorgungsprobleme).

Wie groß darf das Ereignisprotokoll maximal werden?

Standardmäßig ist die maximale Protokollgröße für die wichtigsten Protokolle auf 20 MB eingestellt. Diese Grenze lässt sich jedoch über die Eigenschaften des jeweiligen Protokolls in der Ereignisanzeige erhöhen. Für produktive Systeme empfiehlt sich eine Größe von 100 MB oder mehr, damit ältere Einträge nicht zu früh überschrieben werden.

Kann ich das Ereignisprotokoll per Aufgabenplanung automatisch auswerten?

Ja. Der Windows Aufgabenplaner unterstützt die direkte Verknüpfung mit Ereignisprotokoll-Einträgen. Klicken Sie dazu in der Ereignisanzeige mit der rechten Maustaste auf ein Ereignis und wählen Sie „Aufgabe an dieses Ereignis anfügen“. Damit können Sie beispielsweise bei jedem Auftreten einer bestimmten Ereignis-ID automatisch eine E-Mail versenden oder ein Skript starten.

Wie lese ich das Ereignisprotokoll per PowerShell aus?

Das empfohlene Cmdlet lautet Get-WinEvent. Beispiel für die letzten 50 Fehler im Systemprotokoll:

Get-WinEvent -LogName System | Where-Object { $_.Level -eq 2 } | Select-Object -First 50

Alternativ können Sie mit dem Parameter -FilterHashtable gezielt nach Ereignis-ID, Zeitraum und Protokoll filtern – das ist besonders effizient bei großen Protokollen.

Unterscheidet sich die Ereignisanzeige in Windows 10 und Windows 11?

Funktional sind die Ereignisanzeigen in Windows 10 und Windows 11 nahezu identisch. Der Befehl eventvwr.msc, die Protokollstruktur, die Filteroptionen und die PowerShell-Cmdlets funktionieren auf beiden Versionen gleich. Lediglich die visuelle Einbindung – zum Beispiel das Erscheinungsbild der Taskleiste oder des Startmenüs beim Öffnen – unterscheidet sich leicht zwischen den Versionen.

Fazit

Die Windows-Ereignisanzeige ist ein mächtiges, kostenlos integriertes Werkzeug zur Systemanalyse. Mit eventvwr.msc, PowerShell-Cmdlets wie Get-WinEvent oder dem Tool MyEventViewer analysieren Sie Fehler, Abstürze und Sicherheitsereignisse präzise.

Deshalb lohnt es sich, die Ereignisanzeige regelmäßig zu nutzen – sowohl zur Fehlerdiagnose als auch zur vorbeugenden Systemüberwachung. Wer die wichtigsten Ereignis-IDs kennt, löst Probleme unter Windows 10 und Windows 11 deutlich schneller.

Lesen Sie weiter

Windows 11/10: Alle Ereignisprotokolle löschen – So geht’s Ereignisprotokolle in Windows 10 und 11 löschen: Erfahren Sie, wie…

Windows 11/10: PowerShell öffnen und nutzen – So geht’s PowerShell unter Windows 11/10 öffnen und nutzen: Erfahren Sie, wie…

Windows 11 Fehlerprotokolle einsehen, überprüfen – So geht’s Fehlerprotokolle in Windows 11 einsehen und überprüfen: Nutzen Sie die…

Windows 11-Ereignisanzeige öffnen und anzeigen – So geht’s Ereignisanzeige in Windows 11 öffnen und anzeigen: Schritt-für-Schritt-Anleitung über Startmenü,…

Windows 11/10: Herunterfahr- & Neustartprotokolle lesen – So geht’s Herunterfahr- und Neustartprotokolle in Windows 11/10 lesen: So analysieren Sie…