Dir auch und ich hoffe das klappt.

Okay, nochmals Danke.

Werd ich mir mal heute abend oder am Sonntag anschauen und die Registry-Einträge mit einem anderen Rechner vergleichen. Vielleicht ergibt sich da was ...

Ich melde mich, wenn ich das durchgeackert habe

Bis dahin erst mal Danke und schon mal einen Guten Rutsch!!
Gruss Manustif

Gespeichert werden die Eventlogs unter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System
und
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

Hallo moinmoin,

Danke erst mal für Deinen Tip und das Willkommen.

Habe das gerade das System mit Barts PE Builder CD gestartet und den Tip ausprobiert. Die Logs unter %SystemRoot%\System32\Winevt\Logs\*.evtx gelöscht. Anschließend Neustart.

Hat leider nix gebracht. Die Logs wurden zwar neu aufgebaut, aber die Events werden trotzdem nicht protokolliert. Scheinbar waren die Protokolle nicht defekt, sondern das System "weiß" nicht, das die Events mit geschrieben werden müssen. Wo werden eigentlich in der Registry die maßgeblichen Protokoll-Events festgelegt? Kann es sein, dass da irgendwas durcheinander geraten ist?

Vielleicht kann ich den Registry-Zweig mit einem nicht betroffenen Rechner vergleichen ...

Kann man eigentlich selbst Events, die protokolliert werden sollen, hinzufügen, und wenn ja, wie? Vielleicht fehlt da was? K.A. ...

Gruss manustif

Erst einmal
Du hast ja schon so ziemlich alles durch was geht.
Eine Variante hab ich noch gefunden (unter Lösung)
https://support.microsoft.com/de-de/kb/172156

Hallo,

seit einiger Zeit habe ich ein Problem mit der Ereignisanzeige. Es werden im Windows Protokoll "System" komplette Gruppen von Informationen und auch kritischen Fehlern nicht mehr aufgezeichnet. Es fehlen z. Bsp. alle Events von "Kernel-General", kritische Systemfehler, Zeitsync, An- und Abmeldungen, gehen in/aus Standby usw.. Dagegen werden USB-Events, Treiberinstallationen, Bluetooth, Systemstart und solche Dinge nach wie vor gelogt.

Der Fehler betrifft nur das Windows-Protokoll "System"(!); alle anderen Protokolle werden korrekt fortgeführt.

Was wurde bisher getestet:

- Mehrfacher kompletter Neustart ohne Schnellstart(!)
- Löschen aller Protokolle in der Eereignisanzeige
- Hochsetzen der Speichergröße, obwohl ja eigentlich überschrieben werden sollte.
- Prüfen des Dienstes Ereignisprotokollierung; Beenden und Starten des Dienstes, Dienst läuft aber immer
- Rücksetzen auf Wiederherstellungspunkt - weiß aber nicht genau, wann der Fehler erstmalig auftrat
- Deinstallation des Virenscanners (KAV 17) und Abschalten der Windows-Firewall

Neue Programme wurden zwischenzeitlich nicht installiert - außer Updates. Problem liegt aber nur bei einem von mehreren Rechnern mit nahezu identischer Softwareausstattung vor.

Bis jetzt hat nichts geholfen. Wie gesagt, die anderen Protokolle sind definitiv nicht betroffen und auch im Protokoll System wird selektiv mitgelogt.
Bin am Ende mit meinem Latein... Hat jemand noch eine Idee (außer Neuinstallation, dass ist es mir nicht wert, da ja ansonsten alles bestens läuft)?
Danke schon mal ...

Gruß Manustif
(und schon mal allen im Forum einen guten Rutsch!)