Gibt es eine erschöpfende Liste dessen, was Windows protokolliert oder protokollieren kann?

Zentrale Log-Standorte

• %WINDIR%\System32\config oder %WINDIR%\System32\winevt\Logs
  Enthält die meisten Ereignisprotokolle, auf die über die Ereignisanzeige zugegriffen werden kann.

• %WINDIR%\Logs
  Enthält viele Textprotokolldateien.

Microsoft Security Essentials

• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
  Laufzeitprotokolle

• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
  Installationsprotokolle

Temporäre Installation und Windows Defender Logs

• %WINDIR\Temp\*.log
  Enthält Informationen zu MSI-Installationen sowie zum Starten / Scannen von Windows Defender.

• %AppData%\Local\Temp\*.log
  Enthält Informationen zu MSI-Installationen, die im Kontext des aktuellen Benutzers ausgeführt wurden.

Windows-Installationsprotokolle

• %AppData%\Local\Microsoft\Websetup (Windows 8)
  Enthält Details zur Web-Setup-Phase von Windows 8.

• %AppData%\setupapi.log (Windows XP und frühere Versionen)
  Enthalten informationen über Geräte - und Treiberänderungen und wichtige Systemänderungen, wie die Installation von Service Packs und Hotfixes.

• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
  Enthält Informationen über Setup-Aktionen, Fehler, Struktur, SIDs und frühe Setup-Geräte. Wenn die Installation zurückgesetzt wird, enthalten diese Dateien Rollback-Informationen.

• %WINDIR%\PANTHER\*.log,xml
  Enthält Informationen zu Setup-Aktionen, Fehlern, Struktur, SIDs und späterer Einrichtung Speichergeräte.

• %WINDIR%\INF\setupapi.dev.log
  Enthält Informationen zu Plug-and-Play-Geräten und Treiberinstallationen.

• %WINDIR%\INF\setupapi.app.log
  Enthält Informationen zu den Installationen von Anwendungen.

• %WINDIR%\Performance\Winsat\winsat.log
  Enthält Ergebnisse von Leistungstests.

Windows-Zeitdienst

• Bis Aktivieren Sie die Protokollierung des Windows-Zeitdienstes:

  w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
  

• Bis Deaktivieren Sie die Protokollierung der Der Windows-Zeitdienst ausgeführt werden:

  w32tm /debug /disable
  

Windows Update

• %WINDIR%\WindowsUpdate.log
  Enthält alle Ereignisse, die im Zusammenhang mit Windows Update

• %WINDIR%\SoftwareDistribution\ReportingEvents.log
  Enthält Ereignisse im Zusammenhang mit Software-Update-Statusberichten.

Deployment Image Service-und Management-Tool (DISM)

• %WINDIR%\Logs\DISM\dism.log
  Enthält Informationen zu Ereignissen, die bei der Interaktion mit dem Windows-Image auftreten.

Komponentenbasierte Wartung (CBS)

• %WINDIR%\Logs\CBS\CBS.log
  Enthält Informationen zu Ereignissen, die bei der Interaktion mit Windows-Komponenten und-Funktionen auftreten.

Ich denke, du fragst nach dem Unmöglichen. Es gibt zahlreiche Protokollabschnitte innerhalb des Windows-Ereignisprotokolls, auf die sowohl Windows-als auch Nicht-Windows-Anwendungen und-Dienste zugreifen, und es unterscheidet sich von einer Windows-Version zur nächsten. Darüber hinaus gibt es zahlreiche andere Protokollierungsoptionen, einschließlich Text (z.log-Dateien und in der internen Windows-Datenbank .

Die Liste wäre umfangreich und vielfältig und hängt von dem jeweiligen Betriebssystem ab, das Sie haben und wie es konfiguriert ist.

Lauf

wevtutil el

An der Eingabeaufforderung.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>