Windows 11 Fehlerprotokolle einsehen, überprüfen – So geht’s

Fehlerprotokolle in Windows 11 einsehen und überprüfen: Nutzen Sie die Ereignisanzeige, um Fehler, Warnungen und Abstürze zu analysieren und zu beheben.

Windows 11 speichert automatisch detaillierte Fehlerprotokolle, die Ihnen helfen, Systemabstürze, Programmfehler und Hardware-Probleme zu diagnostizieren.

Mit der integrierten Ereignisanzeige, dem Zuverlässigkeitsverlauf und weiteren Werkzeugen finden Sie schnell heraus, was auf Ihrem PC schiefläuft. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie Fehlerprotokolle öffnen, lesen und auswerten – ohne Vorkenntnisse.

Was sind Fehlerprotokolle und warum sind sie wichtig?

Windows 11 führt im Hintergrund ständig Buch über alle Systemereignisse. Dabei werden kritische Fehler, Warnungen, Informationen und Sicherheitsereignisse lückenlos protokolliert. Diese Aufzeichnungen nennt man Fehlerprotokolle oder Ereignisprotokolle. Sie sind deshalb so wertvoll, weil Sie damit die genaue Ursache eines Problems eingrenzen können – zum Beispiel wenn der PC plötzlich neu startet, ein Programm abstürzt oder die Leistung einbricht.

Besonders in Windows 11 hat Microsoft das Protokollierungssystem gegenüber früheren Versionen weiter ausgebaut. Zusätzlich zu den klassischen Windows-Protokollen gibt es spezifische Anwendungs-, System-, Setup- und Sicherheitsprotokolle. Außerdem können Hardwarehersteller eigene Protokollquellen einbinden, sodass auch Treiberfehler präzise dokumentiert werden.

Ein häufiger Fehler ist es, Probleme ohne Protokollprüfung zu lösen. Wer hingegen zuerst die Fehlerprotokolle einsieht, spart oft viel Zeit – denn Windows nennt bereits den genauen Fehlercode und die betroffene Komponente.

Die Ereignisanzeige – Das zentrale Werkzeug für Fehlerprotokolle

Das wichtigste Programm zur Analyse von Fehlerprotokollen unter Windows 11 ist die Ereignisanzeige (englisch: „Event Viewer“). Sie ist seit Jahren fester Bestandteil von Windows und wurde auch für Windows 11 beibehalten. Außerdem ist sie kostenlos und bereits vorinstalliert – Sie brauchen also keine zusätzliche Software.

Ereignisanzeige öffnen – 4 Wege

Es gibt mehrere Möglichkeiten, die Ereignisanzeige zu starten:

Weg 1 – Über die Suche:
Klicken Sie auf das Windows-Suchfeld in der Taskleiste und geben Sie „Ereignisanzeige“ ein. Klicken Sie anschließend auf das angezeigte Ergebnis.

Weg 2 – Über den Schnellzugriff:
Drücken Sie gleichzeitig die Tasten Windows + X. Wählen Sie dann im erscheinenden Menü den Punkt „Ereignisanzeige“.

Weg 3 – Über Ausführen:
Drücken Sie Windows + R, geben Sie eventvwr.msc ein und bestätigen Sie mit der Eingabetaste.

Weg 4 – Über die Computerverwaltung:
Öffnen Sie die Computerverwaltung (ebenfalls über Windows + X erreichbar), und navigieren Sie dort zu Computerverwaltung → Systemprogramme → Ereignisanzeige.

Aufbau der Ereignisanzeige verstehen

Die Ereignisanzeige gliedert sich in mehrere Bereiche. Auf der linken Seite sehen Sie eine Baumstruktur mit verschiedenen Protokollkategorien. Auf der rechten Seite finden Sie Aktionen wie das Erstellen benutzerdefinierter Ansichten. Im mittleren Bereich werden die Ereignisse in Listenform dargestellt.

Die wichtigsten Kategorien sind:

• Windows-Protokolle: Hier finden Sie die Hauptprotokolle – Anwendung, Sicherheit, Setup, System und Weitergeleitet Ereignisse.
• Anwendungs- und Dienstprotokolle: Diese Kategorie enthält detaillierte Logs von Windows-Komponenten und installierten Programmen.
• Benutzerdefinierte Ansichten: Hier können Sie eigene Filter speichern, um wiederkehrende Analysen zu vereinfachen.

Ereignistypen und ihre Bedeutung

In der Ereignisanzeige begegnen Ihnen verschiedene Symbole und Typen. Es ist wichtig, diese zu kennen, damit Sie zwischen harmlosen Einträgen und echten Problemen unterscheiden können.

• Kritisch (roter Kreis mit X): Schwerwiegende Fehler, die zu einem Systemabsturz geführt haben oder die Systemstabilität gefährden. Beispielsweise ein Kernel-Absturz oder ein kritischer Dienst, der nicht gestartet werden konnte.
• Fehler (roter Kreis): Bedeutende Fehler, die jedoch nicht zwingend den gesamten PC betreffen. Dazu gehören zum Beispiel Treiberfehler oder abgestürzte Dienste.
• Warnung (gelbes Dreieck): Hinweise auf potenzielle Probleme, die noch nicht kritisch sind – zum Beispiel ein fast voller Speicher oder ein Zeitüberschreitungsfehler.
• Informationen (blaues I): Normale Betriebsereignisse, wie das erfolgreiche Starten eines Dienstes.
• Erfolgsüberwachung/Fehlerüberwachung: Nur im Sicherheitsprotokoll – zeigt an, ob Anmeldevorgänge erfolgreich waren oder fehlschlugen.

Systemprotokoll und Anwendungsprotokoll gezielt auswerten

Für die meisten Fehlerdiagnosen sind das Systemprotokoll und das Anwendungsprotokoll am relevantesten. Öffnen Sie die Ereignisanzeige und navigieren Sie zu Windows-Protokolle → System.

Dort sehen Sie alle systemrelevanten Ereignisse – also Fehler, die das Betriebssystem selbst betreffen. Suchen Sie gezielt nach Einträgen vom Typ „Kritisch“ oder „Fehler“. Klicken Sie auf einen Eintrag, um die Detailansicht unten im Fenster zu sehen. Dort finden Sie:

• Ereignis-ID: Eine numerische Kennung, die den Fehlertyp genau beschreibt. Zum Beispiel steht die Ereignis-ID 41 für einen unerwarteten Neustart (Kernel-Power-Fehler).
• Quelle: Die Komponente, die den Fehler gemeldet hat – zum Beispiel „Kernel-Power“, „Disk“ oder „WHEA-Logger“.
• Beschreibung: Eine lesbare Erklärung des Fehlers, manchmal mit Fehlercode.

Außerdem empfiehlt sich ein Blick ins Anwendungsprotokoll unter Windows-Protokolle → Anwendung. Hier protokollieren installierte Programme ihre Fehler. Wenn ein bestimmtes Programm immer wieder abstürzt, finden Sie hier wertvolle Hinweise.

Benutzerdefinierte Ansichten anlegen

Damit Sie nicht jedes Mal manuell filtern müssen, können Sie in der Ereignisanzeige benutzerdefinierte Ansichten erstellen. Klicken Sie dafür auf „Benutzerdefinierte Ansicht erstellen“ im rechten Bereich. Anschließend stellen Sie den gewünschten Zeitraum, die Ereignisebene (z. B. nur Kritisch und Fehler) sowie die relevanten Protokolle ein. Diese Ansicht speichern Sie dann unter einem eigenen Namen – zum Beispiel „Kritische Systemfehler“. Zukünftig erreichen Sie diese Auswahl mit einem einzigen Klick.

Den Zuverlässigkeitsverlauf für eine schnelle Übersicht nutzen

Neben der Ereignisanzeige bietet Windows 11 noch ein weiteres nützliches Werkzeug: den Zuverlässigkeitsverlauf. Er zeigt eine vereinfachte, grafische Übersicht aller Probleme – besonders geeignet für Nutzer, die keine tiefe Systemkenntnis haben.

So öffnen Sie den Zuverlässigkeitsverlauf:
Öffnen Sie die Systemsteuerung (über die Windows-Suche erreichbar), navigieren Sie zu System und Sicherheit → Sicherheit und Wartung → Zuverlässigkeitsverlauf anzeigen.

Alternativ geben Sie im Suchfeld einfach „Zuverlässigkeitsverlauf“ ein.

Der Zuverlässigkeitsverlauf zeigt Ihnen eine Zeitachse mit täglichen Stabilitätsbewertungen von 1 bis 10. Rote X-Symbole markieren kritische Ereignisse, gelbe Ausrufezeichen stehen für Warnungen. Zusätzlich sehen Sie blau unterlegte Informationen zu installierten Updates. Klicken Sie auf einen bestimmten Tag, um alle Ereignisse dieses Tages im Detail zu sehen. So erkennen Sie schnell, ob ein bestimmtes Update oder eine Installation Probleme verursacht hat.

Windows-Protokolldateien direkt im Dateisystem finden

Neben den grafischen Werkzeugen speichert Windows 11 seine Protokolldateien auch direkt im Dateisystem. Sie finden diese Dateien hauptsächlich an folgenden Stellen:

• C:\Windows\Logs: Hier befinden sich verschiedene Protokolldateien, z. B. CBS.log (für Windows Update und Systemdateiprüfungen), DISM\dism.log sowie Setup-Protokolle.
• C:\Windows\System32\winevt\Logs: In diesem Ordner liegen die rohen Ereignisprotokolldateien im .evtx-Format. Diese können direkt in der Ereignisanzeige geöffnet werden – auch auf einem anderen PC.
• C:\Users\AppData\Local\Temp: Viele Programme legen temporäre Fehlerprotokolle hier ab.

Besonders die CBS.log-Datei ist hilfreich, wenn Windows-Updates fehlschlagen oder Systemdateien beschädigt sind. Öffnen Sie sie mit dem Editor oder – für eine bessere Lesbarkeit – mit Notepad++ (kostenlos erhältlich unter notepad-plus-plus.org).

Fehlerprotokolle über PowerShell und CMD auslesen

Fortgeschrittene Nutzer können Fehlerprotokolle auch direkt über die Windows PowerShell oder die Eingabeaufforderung (CMD) abrufen. Das ist besonders dann sinnvoll, wenn Sie viele Einträge auf einmal filtern oder exportieren möchten.

Wichtige PowerShell-Befehle für Fehlerprotokolle

Alle Fehler im Systemprotokoll anzeigen:

Get-EventLog -LogName System -EntryType Error

Die letzten 20 kritischen Ereignisse anzeigen:

Get-WinEvent -LogName System | Where-Object {$_.LevelDisplayName -eq "Kritisch"} | Select-Object -First 20

Ereignisse eines bestimmten Zeitraums exportieren:

Get-WinEvent -LogName System -MaxEvents 100 | Export-Csv -Path "C:\Fehlerlog.csv" -NoTypeInformation

Diese Befehle führen Sie aus, indem Sie die PowerShell als Administrator öffnen – rechtsklicken Sie dafür auf das Startmenü und wählen Sie „Windows PowerShell (Administrator)“ oder „Terminal (Administrator)“.

Systemdatei-Überprüfung (SFC) und DISM – Fehler automatisch beheben

Wenn Fehlerprotokolle auf beschädigte Systemdateien hinweisen, empfehlen sich zwei integrierte Windows-Tools: SFC (System File Checker) und DISM (Deployment Image Servicing and Management).

SFC ausführen

Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie folgenden Befehl ein:

sfc /scannow

Danach startet Windows die Überprüfung aller geschützten Systemdateien. Der Vorgang dauert je nach PC zwischen 10 und 30 Minuten. Anschließend erhalten Sie einen Bericht. Wenn Fehler gefunden und behoben wurden, steht dort: „Windows-Ressourcenschutz hat beschädigte Dateien gefunden und diese erfolgreich repariert.“ Das detaillierte Protokoll dieser Prüfung finden Sie in der Datei C:\Windows\Logs\CBS\CBS.log.

DISM ausführen

Wenn SFC Fehler meldet, die es nicht selbst beheben kann, setzen Sie anschließend DISM ein:

DISM /Online /Cleanup-Image /RestoreHealth

Dieser Befehl lädt fehlende oder beschädigte Dateien aus Windows Update herunter und stellt das System-Image wieder her. Deshalb benötigen Sie dabei eine aktive Internetverbindung. Nach erfolgreichem Abschluss empfiehlt es sich, SFC erneut auszuführen.

Bluescreen-Protokolle (BSOD) analysieren

Ein Bluescreen of Death (BSOD) – unter Windows 11 auch als schwarzer Bildschirm mit Trauer-Emoji bekannt – ist eines der schlimmsten Ereignisse für PC-Nutzer. Jedoch hinterlässt Windows dabei immer eine sogenannte Minidump-Datei, die genaue Fehlerinformationen enthält.

Minidump-Dateien finden

Die Dump-Dateien befinden sich standardmäßig unter C:\Windows\Minidump. Außerdem speichert Windows einen vollständigen Speicherauszug unter C:\Windows\MEMORY.DMP.

WhoCrashed – Bluescreen-Protokolle leicht lesbar machen

Für die Auswertung von Bluescreen-Protokollen empfehlen wir das kostenlose Tool WhoCrashed von Resplendence Software (resplendence.com/whoCrashed). Das Programm analysiert automatisch alle vorhandenen Dump-Dateien und zeigt Ihnen in verständlicher Sprache, welcher Treiber oder welche Komponente den Absturz verursacht hat.

So gehen Sie vor:

1. Laden Sie WhoCrashed von der offiziellen Website herunter und installieren Sie es.
2. Starten Sie das Programm – es erkennt die Dump-Dateien automatisch.
3. Klicken Sie auf „Analyze“.
4. Im unteren Bereich lesen Sie den Bericht, der den verantwortlichen Treiber (z. B. nvlddmkm.sys für NVIDIA-Grafiktreiber) klar benennt.

Ebenso nützlich ist das Tool BlueScreenView von NirSoft (nirsoft.net/utils/blue_screen_view.html). Es zeigt alle bisherigen Bluescreens in einer übersichtlichen Tabelle und nennt den fehlerhaften Treiber. Beide Tools sind kostenlos und benötigen keine Installation (Portable-Version verfügbar).

Den Geräte-Manager für Treiberfehler nutzen

Viele Systemfehler gehen auf fehlerhafte oder veraltete Treiber zurück. Deshalb ist der Geräte-Manager ein wichtiges Werkzeug zur Fehlersuche. Öffnen Sie ihn über Windows + X → Geräte-Manager.

Geräte mit Problemen werden dort mit einem gelben Ausrufezeichen oder einem roten X markiert. Klicken Sie mit der rechten Maustaste auf ein markiertes Gerät und wählen Sie „Eigenschaften“. Im Reiter „Allgemein“ finden Sie den genauen Fehlercode und eine Beschreibung. Im Reiter „Ereignisse“ sehen Sie zudem eine chronologische Liste aller Ereignisse für dieses Gerät – ähnlich wie in der Ereignisanzeige, jedoch gerätespezifisch.

Außerdem empfiehlt sich bei Treiberproblemen der Einsatz von Driver Store Explorer (auch bekannt als RAPR, kostenlos auf GitHub erhältlich). Das Tool zeigt alle installierten Treiber übersichtlich an und ermöglicht das gezielte Entfernen von veralteten Treiberversionen.

Windows 11 Protokolldateien exportieren und sichern

Manchmal ist es sinnvoll, Fehlerprotokolle zu exportieren – zum Beispiel um sie einem Techniker zu senden oder um sie später zu vergleichen.

Protokoll exportieren über die Ereignisanzeige:

1. Öffnen Sie die Ereignisanzeige und navigieren Sie zum gewünschten Protokoll (z. B. System).
2. Klicken Sie im rechten Bereich auf „Alle Ereignisse speichern unter“.
3. Wählen Sie ein Format: .evtx (für späteres Öffnen in der Ereignisanzeige), .xml, .csv oder .txt.
4. Speichern Sie die Datei am gewünschten Ort.

Für eine regelmäßige automatische Sicherung der Protokolle können Sie außerdem die Aufgabenplanung (Task Scheduler) von Windows nutzen. Dort erstellen Sie eine Aufgabe, die täglich oder wöchentlich ein PowerShell-Skript ausführt, das die aktuellen Protokolle exportiert.

Drittanbieter-Tools für die erweiterte Protokollanalyse

Neben den integrierten Werkzeugen gibt es empfehlenswerte Drittanbieter-Software, die die Fehleranalyse erheblich vereinfacht.

Sysinternals Suite von Microsoft:
Die kostenlose Sysinternals Suite (erhältlich über Microsoft unter learn.microsoft.com/de-de/sysinternals) enthält zahlreiche nützliche Tools. Besonders Process Monitor zeigt in Echtzeit alle Dateisystem-, Registry- und Netzwerkaktivitäten von Prozessen an – inklusive Fehlern. Autoruns zeigt außerdem alle Autostart-Einträge und hilft, problematische Einträge zu identifizieren.

Reliability Monitor (Zuverlässigkeitsmonitor):
Dieser ist bereits in Windows integriert (siehe oben), jedoch oft übersehen. Er ist ideal für einen ersten schnellen Überblick.

NirSoft EventLogChannelsView:
Dieses kostenlose Tool (nirsoft.net) listet alle verfügbaren Ereigniskanäle übersichtlich auf und zeigt direkt, wie viele Ereignisse pro Kanal gespeichert sind. So finden Sie schnell, wo sich relevante Protokolle verbergen.

FullEventLogView von NirSoft:
Ebenfalls kostenlos bietet FullEventLogView eine Alternative zur Windows-Ereignisanzeige mit verbesserter Suchfunktion, Exportoptionen und der Möglichkeit, Protokolle von mehreren Computern gleichzeitig auszuwerten.

Häufige Fehler-IDs und ihre Bedeutung

Wer Fehlerprotokolle einsieht, stößt regelmäßig auf dieselben Ereignis-IDs. Deshalb lohnt es sich, die wichtigsten zu kennen:

Ereignis-ID	Quelle	Bedeutung
41	Kernel-Power	Unerwarteter Neustart, z. B. durch Stromausfall oder Absturz
6008	EventLog	Letzter Systemstart war unsauber (nach Absturz)
1001	Windows Error Reporting	Absturzprotokoll einer Anwendung
7034	Service Control Manager	Ein Dienst wurde unerwartet beendet
7040	Service Control Manager	Starttyp eines Dienstes wurde geändert
10016	DistributedCOM	Berechtigungsfehler bei COM-Komponente (meist harmlos)
4625	Security	Fehlgeschlagene Anmeldung
55	Ntfs	Dateisystemkorruption erkannt
11	Disk	Treiberfehler bei Festplatte – möglicher Hardwaredefekt

Wenn Sie in den Protokollen auf eine unbekannte Ereignis-ID stoßen, geben Sie diese zusammen mit der Quelle einfach in eine Suchmaschine ein – zum Beispiel „Ereignis-ID 41 Kernel-Power Windows 11″. So finden Sie in der Regel schnell hilfreiche Erklärungen und Lösungsansätze.

Empfohlene Vorgehensweisen bei der Fehleranalyse

Damit Ihre Fehleranalyse effizient ist, sollten Sie folgende empfohlene Vorgehensweisen beachten:

1. Zeitstempel verwenden: Notieren Sie den genauen Zeitpunkt, zu dem das Problem aufgetreten ist. Suchen Sie dann in der Ereignisanzeige gezielt nach Einträgen in diesem Zeitfenster (± 5 Minuten).

2. Immer als Administrator arbeiten: Viele Protokolle – besonders das Sicherheitsprotokoll – sind nur mit Administratorrechten vollständig lesbar. Starten Sie die Ereignisanzeige daher stets mit erhöhten Rechten.

3. Zusammenhänge herstellen: Ein einzelner Fehler ist selten aussagekräftig. Deshalb sollten Sie prüfen, ob in der gleichen Zeitspanne mehrere Fehler aufgetreten sind, die zusammenhängen könnten – zum Beispiel ein Treiberfehler kurz vor einem Kernel-Power-Absturz.

4. Updates und Installationen im Blick behalten: Häufig treten Fehler nach Windows-Updates oder Software-Installationen auf. Vergleichen Sie daher den Zuverlässigkeitsverlauf mit dem Datum des letzten Updates.

5. Protokolle regelmäßig exportieren: Exportieren Sie die wichtigsten Protokolle regelmäßig, damit ältere Einträge nicht überschrieben werden.

6. Ereignisabonnements nutzen: In Unternehmensumgebungen können Sie über Ereignisabonnements Protokolle von mehreren Computern zentral sammeln.

Fehlerprotokolle bei Windows Update-Problemen

Windows-Update-Fehler sind besonders häufig und frustrierend. Zum Glück protokolliert Windows alle Update-Vorgänge detailliert. Die relevanten Stellen sind:

• Ereignisanzeige → Anwendungs- und Dienstprotokolle → Microsoft → Windows → WindowsUpdateClient → Operational: Hier finden Sie alle Update-Ereignisse, inklusive Fehler mit zugehörigem Fehlercode.
• C:\Windows\Logs\CBS\CBS.log: Enthält das Protokoll der Komponentendienste und ist besonders bei Installationsfehlern hilfreich.
• C:\Windows\SoftwareDistribution\ReportingEvents.log: Zeigt zusätzlich den Update-Verlauf.

Außerdem empfiehlt sich bei hartnäckigen Update-Fehlern das kostenlose Microsoft-Tool Windows Update Troubleshooter, das Sie in den Einstellungen unter System → Problembehandlung → Weitere Problembehandlungen → Windows Update finden.

Protokolle bei Leistungsproblemen und hoher CPU-Auslastung

Wenn Ihr PC langsam ist oder die CPU dauerhaft stark ausgelastet ist, helfen ebenfalls die Protokolldateien – jedoch in Kombination mit dem Ressourcenmonitor und dem Leistungsmonitor.

Öffnen Sie den Leistungsmonitor über die Windows-Suche oder durch Eingabe von perfmon im Ausführen-Dialog (Windows + R). Dort können Sie unter Datensammlersätze → System → System Diagnostics einen vollständigen Leistungsbericht erstellen. Dieser analysiert CPU, RAM, Festplatte und Netzwerk und gibt Ihnen außerdem Empfehlungen zur Problembehebung.

Ebenso nützlich ist der Ressourcenmonitor (Aufruf: resmon), der in Echtzeit zeigt, welche Prozesse welche Ressourcen beanspruchen – und ob dabei Fehler auftreten.

Protokollgröße verwalten und alte Protokolle bereinigen

Mit der Zeit können Ereignisprotokolle sehr groß werden. Deshalb sollten Sie gelegentlich überprüfen, ob die Protokollgröße noch im Rahmen ist. In der Ereignisanzeige klicken Sie mit der rechten Maustaste auf ein Protokoll (z. B. System) und wählen „Eigenschaften“. Dort sehen Sie die maximale Protokollgröße und können festlegen, was passiert, wenn die Grenze erreicht wird: Entweder werden alte Ereignisse automatisch überschrieben, oder das Protokoll wird manuell gespeichert und geleert.

Empfehlenswert ist außerdem die regelmäßige Bereinigung unnötiger Protokolle über die Datenträgerbereinigung (Aufruf: cleanmgr). Dort können Sie unter anderem Windows-Fehlerberichtsdateien und Systemfehler-Speicherauszugsdateien löschen, um Speicherplatz freizugeben.

Fehlerprotokolle im Unternehmensnetzwerk zentral verwalten

In Unternehmen mit mehreren Windows-11-Geräten ist eine zentrale Verwaltung der Fehlerprotokolle sinnvoll. Dafür bietet Windows zwei Möglichkeiten:

Windows Event Forwarding (WEF): Über diese integrierte Funktion können Ereignisse von beliebig vielen Computern automatisch an einen zentralen Sammler-PC weitergeleitet werden. Die Konfiguration erfolgt über Gruppenrichtlinien (GPO).

Microsoft Azure Monitor/Log Analytics: Für größere Umgebungen oder hybride Netzwerke bietet Microsoft außerdem den cloudbasierten Dienst Azure Monitor an. Damit lassen sich Protokolle aus Windows-11-Geräten, Servern und Cloud-Diensten zentral auswerten, Alarme einrichten und Dashboards erstellen. Das ist besonders für IT-Abteilungen in mittelgroßen und großen Unternehmen relevant.

Häufige Fragen zu Windows-Fehlerprotokollen

Wo finde ich die Fehlerprotokolle in Windows 11?

Die Fehlerprotokolle finden Sie am schnellsten über die Ereignisanzeige, die Sie mit dem Tastaturkürzel Windows + X und dann dem Menüpunkt „Ereignisanzeige“ öffnen. Alternativ drücken Sie Windows + R, geben eventvwr.msc ein und bestätigen mit Enter. Die Protokolldateien liegen außerdem direkt im Dateisystem unter C:\Windows\System32\winevt\Logs.

Was bedeuten kritische Ereignisse in der Ereignisanzeige?

Kritische Ereignisse (rotes Symbol) stehen für schwerwiegende Fehler, die den normalen Betrieb des Systems erheblich beeinträchtigt oder zu einem Absturz geführt haben. Typische Beispiele sind Kernel-Power-Fehler (Ereignis-ID 41) nach unerwarteten Neustarts oder Fehler bei wichtigen Systemdiensten. Sie sollten solche Einträge nicht ignorieren, da sie auf Hardware- oder Treiberprobleme hinweisen können.

Wie kann ich Bluescreen-Protokolle in Windows 11 analysieren?

Bluescreen-Protokolle werden als sogenannte Minidump-Dateien unter C:\Windows\Minidump gespeichert. Zur einfachen Analyse empfehlen wir das kostenlose Tool WhoCrashed (resplendence.com), das diese Dateien automatisch auswertet und den verantwortlichen Treiber oder die Komponente in verständlicher Sprache nennt. Ebenso eignet sich BlueScreenView von NirSoft.

Kann ich Fehlerprotokolle löschen, ohne Windows zu beschädigen?

Ja, das Löschen von Fehlerprotokollen ist ungefährlich und schadet Windows nicht. Klicken Sie in der Ereignisanzeige mit der rechten Maustaste auf das gewünschte Protokoll und wählen Sie „Protokoll löschen“. Alternativ können Sie über die Datenträgerbereinigung (cleanmgr) Windows-Fehlerberichtsdateien entfernen. Außerdem sollten Sie Protokolle vor dem Löschen exportieren, falls Sie sie später noch benötigen.

Welches Tool eignet sich am besten für Einsteiger zur Fehleranalyse?

Für Einsteiger ist der Zuverlässigkeitsverlauf am übersichtlichsten. Er zeigt die Systemstabilität als Grafik und markiert Problemtage klar. Öffnen Sie ihn über die Systemsteuerung oder per Windows-Suche nach „Zuverlässigkeitsverlauf“. Für etwas erfahrenere Nutzer ist außerdem die Ereignisanzeige (Ereignis-ID 41 für Neustarts, ID 1001 für Anwendungsabstürze) gut geeignet.

Warum sind so viele Fehler und Warnungen in der Ereignisanzeige normal?

Eine große Anzahl von Warnungen und sogar einzelne Fehler in der Ereignisanzeige ist bei jedem Windows-System normal. Viele davon sind harmlos und haben keine Auswirkungen auf die Systemstabilität. Deshalb sollten Sie sich auf kritische Ereignisse und Fehler konzentrieren, die zeitlich mit einem tatsächlichen Problem zusammenfallen. Harmlose Einträge wie DCOM-Fehler (Ereignis-ID 10016) können in der Regel ignoriert werden.

Wie finde ich heraus, welcher Treiber Windows 11 zum Absturz bringt?

Öffnen Sie nach einem Bluescreen die Ereignisanzeige und suchen Sie im Systemprotokoll nach Ereignis-ID 41 (Kernel-Power) oder 1001. Zusätzlich analysieren Sie die Minidump-Datei mit WhoCrashed oder BlueScreenView. Diese Tools zeigen direkt den fehlerhaften Treiber an – zum Beispiel einen Grafikkartentreiber (nvlddmkm.sys) oder einen Audiotreiber. Anschließend aktualisieren oder deinstallieren Sie den betroffenen Treiber.

Können Fehlerprotokolle auch bei Windows-Update-Fehlern helfen?

Ja, Fehlerprotokolle sind bei Windows-Update-Fehlern sehr hilfreich. Öffnen Sie dafür die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle → Microsoft → Windows → WindowsUpdateClient → Operational. Dort finden Sie genaue Fehlercodes, die Ihnen bei der Recherche nach einer Lösung helfen. Außerdem liefert die Datei C:\Windows\Logs\CBS\CBS.log detaillierte Update-Protokolle.

Wie groß darf ein Windows-Ereignisprotokoll maximal werden?

Standardmäßig ist das Systemprotokoll auf 20 MB begrenzt, das Anwendungsprotokoll ebenfalls. Wenn dieses Limit erreicht ist, überschreibt Windows automatisch die ältesten Einträge. Sie können die maximale Größe jedoch anpassen: Klicken Sie in der Ereignisanzeige mit der rechten Maustaste auf das Protokoll, wählen Sie „Eigenschaften“ und ändern Sie die maximale Protokollgröße. In Unternehmensumgebungen werden häufig deutlich größere Werte (z. B. 100 MB oder mehr) eingestellt.

Kann ich Windows-Fehlerprotokolle auf einem anderen PC öffnen?

Ja, das ist möglich. Exportieren Sie das Protokoll auf dem betroffenen PC als .evtx-Datei (rechtsklick auf das Protokoll → „Alle Ereignisse speichern unter“). Öffnen Sie dann auf einem anderen PC die Ereignisanzeige, klicken Sie mit der rechten Maustaste auf „Ereignisanzeige (lokal)“ und wählen Sie „Gespeichertes Protokoll öffnen“. Außerdem können Sie die .evtx-Datei direkt einem IT-Techniker senden, der sie so problemlos öffnen kann.

Fazit

Fehlerprotokolle unter Windows 11 einzusehen ist einfacher als gedacht. Die Ereignisanzeige, der Zuverlässigkeitsverlauf und Tools wie WhoCrashed oder die Sysinternals Suite decken nahezu alle Szenarien ab. Wer Fehler gezielt analysiert, statt blind nach Lösungen zu suchen, spart Zeit und löst Probleme dauerhafter.

Beginnen Sie mit dem Zuverlässigkeitsverlauf für einen schnellen Überblick, und wechseln Sie bei tiefergehenden Problemen zur Ereignisanzeige. Exportieren Sie wichtige Protokolle regelmäßig, damit keine wertvollen Diagnosedaten verloren gehen.