Ereignisanzeige (Event Log)

Die Ereignisanzeige (Event Viewer) ist das wichtigste Diagnosewerkzeug auf einem Windows Server. Wenn ein Dienst nicht startet, ein Benutzer sich nicht anmelden kann, ein Backup fehlschlägt oder der DC Probleme hat – immer ist der erste Blick die Ereignisanzeige. Sie protokolliert alles was auf dem System passiert: Systemstarts, Anmeldungen, Fehler, Warnungen, Sicherheitsereignisse. Jedes Ereignis hat eine eindeutige Event-ID, die dir hilft das Problem schnell zu googeln und zu verstehen.

Stell dir die Ereignisanzeige wie das Bordbuch eines Schiffs vor: Alles wird eingetragen – auch Dinge, die im Moment unwichtig erscheinen. Wenn später etwas schiefgeht, weißt du genau was vorher passiert ist. In der Praxis schaust du nicht das gesamte Bordbuch durch, sondern filterst gezielt nach Fehlern und Warnungen in den relevanten Zeiträumen.

1) Die wichtigsten Log-Kategorien

Die Ereignisanzeige ist in mehrere Kategorien unterteilt. Die vier klassischen Windows-Logs kennt jeder, aber für die Server-Administration sind auch die Anwendungs- und Dienste-Protokolle wichtig – dort loggen z.B. Active Directory, DNS und der Zertifikatsdienst (ADCS):

Log	Was drin steht	Typische Fehler
System	Kernel, Treiber, Dienste, Hardware	Dienst kann nicht starten, Treiberfehler, Kernel-Panic (BSOD)
Application	Fehler von installierten Programmen	Datenbankfehler, IIS-Abstürze, SQL-Server-Probleme
Security	Anmeldeereignisse, Berechtigungszugriffe	Fehlgeschlagene Logins, Audit-Events, Kontosperrungen
Setup	Installations- und Update-Ereignisse	Fehlgeschlagene Updates, Rollback
Directory Service	Active Directory Replikation, DC-Ereignisse	Replikationsfehler zwischen DCs, SYSVOL-Probleme
DNS Server	DNS-Anfragen, Zonenfehler	Zone kann nicht geladen werden, Delegationsfehler

2) Interaktiver Event-Viewer – klicke ein Ereignis

Jedes Ereignis in der Ereignisanzeige hat eine Stufe (Fehler, Warnung, Information), eine Event-ID, eine Quelle und eine Beschreibung. Die Event-ID ist der wichtigste Teil – sie identifiziert den Ereignistyp eindeutig. Mit der Event-ID kannst du gezielt in der Microsoft-Dokumentation oder bei Microsoft Learn nach der Ursache und Lösung suchen. Klicke unten auf ein Ereignis, um die Detailansicht zu sehen:

Ereignisanzeige – Ereignis anklicken für Details

StufeEvent-IDBeschreibungQuelle

Fehler 4776 Fehler beim Überprüfen der Anmeldedaten Security

Event ID 4776 – Fehlgeschlagene NTLM-Authentifizierung

Ein Benutzer hat versucht sich anzumelden und wurde abgelehnt. Häufigste Ursachen: falsches Passwort, abgelaufenes Passwort, Konto gesperrt (Lockout). Im Security-Log findest du den Benutzernamen (Subject Account Name) und den Clientnamen. Viele 4776-Events kurz hintereinander = möglicher Brute-Force-Angriff. Prüfe auch Event 4740 (Konto gesperrt).

Fehler 7034 Dienst wurde unerwartet beendet System

Event ID 7034 – Dienst abgestürzt

Ein Windows-Dienst ist unerwartet beendet worden (nicht regulär gestoppt). Das Feld „Dienst" zeigt welcher Dienst. Ursache oft: Speicherleck, fehlende Abhängigkeit, Konfigurationsfehler. Prüfe den Application-Log für begleitende Fehlermeldungen des Dienstes selbst. Lösung: Dienst neu starten, Logs prüfen, ggf. Neuinstallation.

Warnung 36887 TLS-Handshake fehlgeschlagen (Schannel) System (Schannel)

Event ID 36887 – TLS-Handshake-Fehler

Der TLS/SSL-Kanal konnte nicht aufgebaut werden. Häufige Ursachen: Zertifikat ungültig oder abgelaufen, TLS-Version nicht unterstützt (Client und Server haben keine gemeinsame TLS-Version), Cipher-Suite-Konflikt. Prüfe Zertifikat-Ablaufdaten und ob die TLS-Einstellungen auf Client und Server kompatibel sind.

Fehler 1311 Kein Domänencontroller verfügbar für Replikation Directory Service

Event ID 1311 – AD-Replikationsproblem

Der DC kann keinen anderen DC für die Replikation des Verzeichnisses erreichen. Das bedeutet: Änderungen (neue Benutzer, Passwortänderungen) werden nicht zwischen DCs synchronisiert. Ursachen: Netzwerkprobleme, Firewall blockiert Port 389/636/3268, DC offline. Diagnose: repadmin /showrepl und dcdiag /test:replications.

Info 4624 Erfolgreiche Anmeldung Security

Event ID 4624 – Erfolgreiche Anmeldung

Ein Benutzer hat sich erfolgreich angemeldet. Enthält: Benutzername, Domäne, Anmeldetyp (2=interaktiv, 3=Netzwerk, 10=Remote), Client-IP. Für Sicherheitsanalysen und Forensik wichtig. Logon-Typ 3 von unbekannten IPs? Verdächtig. Viele 4624 auf dem DC nachts? Möglicherweise automatisierte Zugriffe oder Angriffe.

Event-ID-Referenz: Microsoft Learn (learn.microsoft.com) und ultimatewindowssecurity.com bieten detaillierte Erklärungen zu allen wichtigen Event-IDs. Der schnellste Einstieg: Event-ID + „Windows Server" in die Suchmaschine – in 90 % der Fälle findet man sofort eine Erklärung und Lösungshinweise.

3) Ereignisse per PowerShell abfragen

Für die tägliche Administration ist PowerShell oft schneller als das manuelle Durchklicken in der grafischen Ereignisanzeige. Besonders nützlich für Remote-Server oder wenn du mehrere Server auf einmal prüfen willst:

Aufgabe	PowerShell
Letzte 20 System-Fehler	`Get-EventLog -LogName System -EntryType Error -Newest 20`
Event-ID 4776 suchen	`Get-WinEvent -FilterHashtable @{LogName='Security';Id=4776} -MaxEvents 10`
Ereignisse auf Remote-Server	`Get-WinEvent -ComputerName SRV-DC02 -FilterHashtable @{LogName='System';Level=2}`
Log nach Zeit filtern	`Get-WinEvent -FilterHashtable @{LogName='Application';StartTime='2024-01-01';EndTime='2024-01-02'}`

Zusammenfassung

Ereignisanzeige ist das primäre Diagnosewerkzeug auf Windows Server. Wichtigste Logs: System, Application, Security, Directory Service, DNS. Event-IDs eindeutig identifizieren Ereignistypen. Wichtige IDs kennen: 4776 (fehlgeschlagenes Login), 7034 (Dienst abgestürzt), 1311 (AD-Replikationsfehler), 4624 (erfolgreicher Login). PowerShell für schnelle Filterabfragen und Remote-Zugriff.

Ereignisanzeige (Event Log)

1) Die wichtigsten Log-Kategorien

2) Interaktiver Event-Viewer – klicke ein Ereignis

3) Ereignisse per PowerShell abfragen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title