Freigeben über


Aktivieren des Systemereignisüberwachungsprotokolls

Dieses Thema enthält die folgenden Informationen:

Aktivieren der Sicherheitsüberwachungsrichtlinien

Aktivieren der ausführlichen Protokollierung von Codeintegritätsdiagnoseereignissen

Aktivieren der Sicherheitsüberwachungsrichtlinien

Führen Sie die folgenden Schritte aus, um die Sicherheitsüberwachungsrichtlinien zum Erfassen von Ladefehlern in den Überwachungsprotokollen zu aktivieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen, erstellen Sie eine Desktopverknüpfung zu Cmd.exe, wählen Sie die Cmd.exe-Verknüpfung aus und halten Sie sie ausgewählt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie Als Administrator ausführen aus.

  2. Führen Sie im Eingabeaufforderungsfenster mit erhöhten Rechten den folgenden Befehl aus:

    Auditpol /set /Category:System /failure:enable
    
  3. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Der folgende Screenshot zeigt, wie Sie mit Auditpol die Sicherheitsüberwachung aktivieren.

Screenshot des Eingabeaufforderungsfensters, der die Verwendung von Auditpol zur Aktivierung der Sicherheitsüberwachung veranschaulicht.

Aktivieren der ausführlichen Protokollierung von Codeintegritätsdiagnoseereignissen

Führen Sie zum Aktivieren der ausführlichen Protokollierung die folgenden Schritte aus:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

  2. Führen Sie Eventvwr.exe über die Befehlszeile aus.

  3. Erweitern Sie unter dem Ordner Ereignisanzeige im linken Bereich der Ereignisanzeige die Unterordner in der folgenden Sequenz:

    1. Anwendungs- und Dienstprotokolle

    2. Microsoft

    3. Windows

  4. Erweitern Sie den Unterordner Codeintegrität im Ordner Windows, um das zugehörige Kontextmenü anzuzeigen.

  5. Wählen Sie Ansicht aus.

  6. Wählen Sie Analyse- und Debugprotokolle anzeigen aus. Die Ereignisanzeige zeigt dann eine Unterstruktur an mit einem Ordner In Betrieb und einem Ordner Ausführlich.

  7. Wählen Sie Ausführlich aus und halten Sie den Ordner ausgewählt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann im Popupkontextmenü Eigenschaften aus.

  8. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte Allgemein aus, und wählen Sie dann etwa in der Mitte der Eigenschaftenseite die Option Protokollierung aktivieren aus. Dadurch wird ausführliche Protokollierung aktiviert.

  9. Starten Sie den Computer neu, damit die Änderungen wirksam werden.