Das Windows Ereignisprotokoll ist die erste Anlaufstellen, wenn Probleme mit dem Windows PC auftreten. Normalerweise wird das Ereignisprotokoll über die Windows Ereignisanzeige (services.msc) bearbeitet. Aber was die wenigsten Windows Anwender oder Administratoren wissen, es gibt auch ein Kommandozeilenbefehl, mit dem das Windows Ereignisprotokoll bearbeitet werden kann. Der notwendige Befehl lautet
WEVTUTIL
Dieses Kommandozeilen Tool, welches von Microsoft kostenlos mit jeder Windows Version mitgeliefert wird, dient zum Abrufen von Informationen zu Ereignisprotokollen. Mit dem Tools können Ereignismanifestdateien installiert und deinstalliert werden, die Ereignisprotokolle abgefragt, explortiert, gelöscht und archiviert werden. Die verschiedenen Funktionen könnt Ihr über eine umfangreiche Parameter-Liste aufrufen.
| Wevtutil Parameter | Beschreibung der Parameter |
|---|---|
| el | enum-logs | Liste die Protokollnamen auf. |
| gl | get-log | Ruft die Protokollkonfigurationsinformationen ab. |
| sl | set-log | Ändert die Konfiguration eines Protokolls. |
| ep | enum-publishers | Ruf die Herausgeberkonfigurationsinformationen ab. |
| im | install-manifest | Installiert Ereignisherausgeber und -protokolle aus der Manifestdatei. |
| um | uninstall-manifest | Deinstalliert Ereignisherausgeber und -protokolle aus der Manifestdatei. |
| qe | query-events | Fragt Ereignisse aus einem Protokoll oder einer Protokolldatei ab. |
| gli | get-log-info | Ruft die Protokollstatusinformationen ab. |
| epl | export-log | Exportiert ein Protokoll. |
| al | archive-log | Archiviert ein exportiertes Protokoll. |
| cl | clear-log | Löscht ein Protokoll. |
Hier nachfolgend nun ein paar Beispiele für den Aufruf des „wevtutil“ Tools incl. Erklärung.
Übersicht über alle Ereignisprotokoll Namen
Mit dem folgenden Befehl könnt Ihr Ihr Euch eine Übersicht über alle verfügbaren Windows Ereignisprotokoll-Namen auflisten lassen.
wevtutil el
Hier nachfolgend seht Ihr den Befehl und die Anzeige der ersten verfügbaren Ereignisprotokolle.
Ereignisprotokoll per Befehl löschen
Mit dem folgenden Befehl könnt Ihr dann einzelne Ereignisprotokolle komplett löschen. Hier als Beispiel haben wir das Ereignisprotokoll „Anwendungen“ (Application) komplett gelöscht. Der komplette Befehl lautet:
wevtutil cl Application
Wenn Ihr nach dem Absetzen des Befehls das Ereignisprotokoll über „services.msc“ aufruft, so ist das komplette Ereignisprotokoll „Anwendungen“ leer. Dies könnt Ihr auch daran erkennen, dass „Anzahl von Ereignissen: 0“ angezeigt wird.
Die meisten Parameter vom „wevtutil“ Befehl sind selbsterklärend und sehr einfach in der Bedienung. Wir finden das Tool durchaus sehr sinnvoll und nutzen es relativ häufig.
Wenn Ihr an weiteren nützlichen Windows Befehlen interessiert seit, so schaut Euch doch folgende Beträge genauer an.
– Große Dummy-Dateien manuell und schnell per Befehl mit FSUTIL erzeugen
– Per Befehl die lokalen GPO´s komplett zurücksetzen
– ISOBURN – Windows ISO Brennprogramm als Kommandozeilen Befehl
– Systemverwaltungs-Tools in Windows 10 aufrufen
– Verfügbare WLAN Verbindungen per Befehl anzeigen oder löschen
– RAM Diagnose mit MDSCHED (Windows-Befehl)
– Control Kurzbefehle für wichtige Windows Einstellungsmöglichkeiten
– PowerShell Befehl zum Deaktivieren der Firewall
– Windows herunterfahren und neu starten mit PowerShell Befehlen
Empfohlene Beiträge
-
Eingabeaufforderung auf Remote Windows PC mit PsExec öffnen -
Windows Systembewertungstool WinSAT (PC Leistung messen) -
Druckertreiber unter Windows löschen mit PNPUTIL
-
Windows Admin Center – Tool für Administratoren -
VolSnap Ereignis ID 25: Sie sollten die E/A-Last auf dem System verringern – Schattenkopie Probleme -
Ausführliche Erklärung aller Windows Kommandos mit Parameter und Beispielen -
Windows + Shift + S – Windows-Funktion zum Erstellen von Hardcopys
-
Diagnose von Windows Update Fehlern und Fehlercodes mit SetupDiag -
SSTP Dienst bei Windows: Alles, was Sie wissen müssen
-
Ereignis-ID 2001 – Der Wert von First Counter unter dem Schlüssel usbperf\Performance kann nicht gelesen werden
-
Große Dummy-Dateien manuell und schnell per Befehl mit FSUTIL erzeugen
-
Alle Windows Apps automatisch aktualisieren mit WINGET
-
Mit WINRM den Windows Client für Remote PowerShell Kommandos vorbereiten
-
MSI-Datei entpacken
Was mich bisher gestört hat das man nicht wie bei Avira die Logs makieren und löschen kann , den wenn man glaubt bei einem makiertem Eintrag diesen löschen zu können – wird sofern man nicht vorher exportiert gewählt hat ALLES gelöscht – einfach NUR schlecht.