Posted by $posts[username] on 10.06.2004 at14:18:
Windows 2000/XP: Ereignisanzeige zur Fehlerdiagnose nutzen
Wenn Windows 2000 oder Windows XP Schluckbeschwerden aufweisen, wird es höchste Zeit für eine fundierte Fehlerdiagnose. Über Bordmittel ist dies jederzeit möglich, man muß nur wissen wo und wie.
NT-Basierte Betriebssysteme wie Windows 2000 und so auch XP protokollieren eine ganze Reihe von Informationen über Ereignisse auf dem Rechner mit und diese Ereignisse kann man sich anzeigen lassen um verwertbare Informationen zur weiteren Diagnose zu erhalten.
Damit dies nicht zur Odyssee ausartet und ihr möglichst schnell entsprechende Gegenmaßnahmen einleiten könnt, haben wir die Ereignisanzeige analysiert.
Es besteht zwar u.a. auch die Möglichkeit über Kernel Dumps und entsprechende Tools Fehler aus dem Speicherinhalt auszulesen und zu verifizieren, aber da dies doch relativ kompliziert ist, wollen wir euch damit nicht belasten.
1. Basics:
Wie kann man diese Anzeige aufrufen?
Dies ist sehr simpel, dazu navigieren wir über die Systemsteuerung ->Verwaltung ->zur Ereignisanzeige.
Wer es elegant und schneller erledigen möchte, der kann über Start ->Ausführen ->und der Eingabe von
eventvwr.msc die Konsole aufrufen.
Hier sehen wir im linken Teilfenster nun unsere 3 relevanten Rubriken:
Das
Anwendungsprotokoll registriert alle Ereignisse, die installierte Programme auslösen. Welche Events das im einzelnen sind, bestimmen in der Regel die Programmierer der entsprechenden Anwendung.
Im
Systemprotokoll hinterlegt Windows Meldungen, die von Treibern oder Diensten ausgelöst werden. Bei beiden Protokollen sind die Meldungen in drei Gefahrenklassen eingeteilt: Informationen, Warnungen und Fehler. Überwacht werden jeweils Erfolg oder eben Mißerfolg. Kann zum Beispiel aus irgendeinem Grund nicht auf das CD-ROM-Laufwerk zugegriffen werden, erfolgt ein Fehlereintrag im Systemprotokoll. Solche Einträge enthalten eine kurze Beschreibung des Problems sowie eine Ereigniskennung - eine sehr wichtige Zahl, mit deren Hilfe sich weitere Informationen beschaffen lassen, wie zum Beispiel durch Recherche in in der
Knowledegebase von Microsoft
oder bei
EventID
.
Das
Sicherheitsprotokoll speichert sicherheitsrelevante Ereignisse wie erfolgreiche oder fehlgeschlagene Anmeldungen. Bei der Professional-Version von Windows XP ist außerdem eine Überwachung von Objektzugriffen (Auditing) möglich. Zum Beispiel lässt sich ein Ordner oder eine einzelne Datei daraufhin überwachen, wer wie auf sie zugreift oder zugegriffen hat. Die Home Edition kann dies nicht, weil sie nicht über NTFS-Zugriffsberechtigungen verfügt. Bei einem Netzwerkzugriff addieren sich die Freigabe- zu den NTFS-Berechtigungen, es gelten aber grundsätzlich die restriktiveren Einstellungen.
Die Protokolle sind standardmäßig auf eine Dateigröße von 512 KB begrenzt. Wird dieser Wert nun überschritten, werden die älteren Einträge gelöscht. Auf Wunsch kann man aber die Protokollgröße und der Überschreibmodus manuell eingestellen. Ob dies nun sinnvoll ist oder nicht überlassen wir dem geneigten Betrachter, die Optionen sind jedenfalls dafür vorhanden und man kann über einen Rechtsklick auf die Protokolle deren Inhalte löschen.
2. Fehlerdiagnose:
Wir wollen in zwei kleinen Beispielen eine mögliche Diagnose erläutern,
Im ersten Beispiel es nicht möglich, auf einem CD-ROM-Laufwerk ein Medium abzuspielen.
Nach dem wir im Bios und Gerätemanager bereits die korrekte Erkennung des Laufwerks überprüft hatten und das Austauschen der Datenkabel keinen Erfolg erzielte, schauen wir uns jetzt die relevanten Einträge in der Ereignisanzeige an:
Wie es scheint, wird unser Laufwerk nicht korrekt angesprochen, einen Controllerfehler können wir ausschließen, da es sich auf einem anderen Rechner genauso verhält.
Bevor wir aber die Hardwaremülltonne öffnen, werfen wir eine Blick auf die webseite von Event-ID und geben dort die Event-ID 11 ein:
entsprechender Link
Wir erhalten hier eine ganze Reihe von Hinweisen in englischer Sprache, die hoffentlich niemand davon abhält, sie zu lesen.
Das Schöne ist, daß in den Kommentaren zu den Fehlermeldungen auch Verweise zu Artikeln aus der Microsoft-Knowledgebase vergeben werden (KB ... oder Q.....), so daß über die entsprechenden Artikel weiter recherchiert werden kann. Dazu kopiert man sich einfach die entsprechende Bezeichnung der Verweise aus dem Artikel heraus und gibt ihn in eine Suchmaschine ein.
Wenn ihr euch die Fehlermeldung aus der Ereignisanzeige zur weiteren Verwendung ausdrucken wollt, dann braucht ihr lediglich auf das Dokumentensymbol zu klicken, damit wird der Inhalt in die Zwischenablage kopiert, somit könnt ihr anschließend den Text z.B. in Word einfügen.
In unserem Beispiel war letztendlich das Einspielen einer aktuelleren Firmware der entscheidende Durchbruch, um das Laufwerk wieder zum Leben zu erwecken.
Beispiel 2
In unserem zweiten Fall ist es nicht möglich z.B. die Hilfe von Office XP aufzurufen, ohne das sich der MSI-Installer meldet, um etwas von der Office-CD installieren zu wollen, obwohl absolut alles von der original-CD installiert wurde.
Wir haben daraufhin
Event-ID
nach der ID 1001 durchforstet und wurden schnell fündig. In der Ereignisanzeige stand ja schon mit dem "MSI-Installer" ein wichtiges Indiz auf den möglichen Fehlerkandidaten, somit war die Suche schnell beendet. Der Kommentar von Paul war goldrichtig, wir haben also kurzerhand den MSI Installer v2.0 heruntergeladen und installiert, mit dem Resultat, daß der Fehler beseitigt war.
Nachbetrachtung:
Die Ereignisanzeige ist kein Allheilmittel oder Schweizer Taschenmesser, aber es erleichtert die Diagnose kollossal, besonders dann, wenn es um die Recherche von kniffeligen Problemen geht und die sonstigen "Verdächtigen" bereits erfolglos überprüft wurden. Man muß allerdings auch die Geduld aufbringen, das Problem nach Möglichkeit wirklich "auszurecherchieren", ansonsten bleibt alles nur Stückwerk und dann ist es in der Tat verschenkte Zeit und eine Reparatur respektive Neuinstallation vorzuziehen.
Wer diese Geduld allerdings aufbringt, wird nicht selten mit einer erfolgreichen Fehlerbeseitigung belohnt. Wenn man dies ins Kalkül zieht und den dabei nicht zu unterschätzenden Lerneffekt berücksichtigt, kann man die Fehlerdignose aus der Ereignisanzeige heraus nur empfehlen.
weiterführende Links:
Events and Errors Message Center
Windows XP Troubleshooting-Workshop
Cerberus