Seite 1 von 3
Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 06:34
von Bremer
Moin,
mir ist es schön paarmal passiert das nach dem öffnen (ohne jegliche Meldung)
Wenn ich dann Adminprotokoll auswähle
adminproto.jpg
diese Meldung erscheint und auch die
Liste der Ereignisse immer noch so
Er Ansicht.jpg
erscheint
kennt es wer aus dem Forum?
schönes Wochenende euch Allen
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 07:42
von moinmoin
Mhh, in der Form hab ich es noch nicht gesehen. Sieht aber danach aus, dass die Datenbank für die Einträge beschädigt ist.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 07:46
von DK2000
Die Anzeige so kenne ich da. Ga es schon vor der 21390. Muss Microsoft wieder fixen. Selber kann man da wohl nichts machen.
Der Fehler mit den administrativen Ereignissen tritt bei mir aber nicht auf. Der Rest sieht aber genauso aus, wie bei Dir.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 08:50
von Bremer
Na da bin ich ja mal beruhigt, hatte die Meldung mal komplett sichtbar gemacht
Screenshot 2021-07-24 084751.jpg
dachte schon irgend ein USB Treiber, aber trotz Aktualisierung nix gebracht.
Der restliche Text ist schon laut google sein Win Vista bekannt
Dann üben wir uns mal in Geduld
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 09:50
von DK2000
Hast Du die analytischen Protokolle aktiviert?
Screenshot 2021-07-24 094605.jpg
Ansonsten habe ich das Protokoll gar nicht. Eventuell mal über WinPE starten und hier mal nachschauen und das defekte Protokoll löschen:
Im laufenden Betrieb geht das etwas kompliziert, daher der Umweg über die Windows PE/RE Umgebung. Wenn es wieder benötigt wird, wird es wieder automatisch angelegt.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 24.07.2021, 16:06
von Bremer
Nein hatte ich nicht aber nun !!!!
melde mich wenn´s Neues ´gibt
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 25.07.2021, 08:47
von Bremer
So auch zu dem Thema mal ein update
Habe einfach mal den Ordner RtBackup unter C:\Windows\System32\LogFiles\WMI gelöscht, aber hat auch nichts gebracht. Ordner wird ja wieder bei Neustart angelegt hat ja manches mal bei Fehler 4201 geholfen. Aber hier eben nicht
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 06:59
von Bremer
Moin Zusammen und erst einmal Allen ein schönes Wochenende
Nach dem ich gestern mal mit der Ereignisanzeige rumgespielt habe und es mir gelungen diese ohne Fehlermeldung zu öffnen
und nach dem ca. 5 mal die Fehlermeldung wieder da war
Natürlich heute wieder getestet alles gut
Ereignisanzeige mit
@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto theEnd
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:theEnd
gelöscht Fehler wieder da
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 11:13
von DK2000
Das löscht ja nur den Inhalt der eizelnen Logs der Ereignisanzeige, aber nicht die Logs selbst. Wobei ich das immer in der PowerShell mit Adminrechten damit mache:
Wenn alles klappt, sollten nur zwei Fehlermeldungen in Zusammenhang mit dem Protokoll "
Microsoft-Windows-LiveId". Falls da mehr erscheint, müsste man das auswerten.
Die Analytischen Protokolle wieder deaktivieren. Die braucht man nicht. Bin mir jetzt nicht sicher, ob Du die aktiviert hast oder nicht. Habe ich vielleicht etwas missverständlich ausgedrückt.
Un zur Fehlermeldung hatte ich ja schon in Beitrag weiter oben geschrieben, dass Du mal von in Windows PE booten sollst und dann im Ordner
"C:\Windows\System32\winevt\Logs" nach dem Protokoll suchst und die *.evtx als ganzes löscht. Vermute da, dass die Datei ansicht defekt ist. Im laufenden Betrieb geht das nicht so gut. Weiß auch nicht, ob ein Tool wie Unlocker da hilft.
Wobei die ganze Ereignisanzeige da ein Problem hat. Bekomme jetzt öfters mal den netten Fehler:
Code: Alles auswählen
************** Ausnahmetext **************
System.ArgumentOutOfRangeException: InvalidArgument=Value mit dem Wert -1 ist für index ungültig.
Parametername: index
bei System.Windows.Forms.ListView.GetItemState(Int32 index, Int32 mask)
bei System.Windows.Forms.ListViewItem.get_StateImageIndex()
bei System.Windows.Forms.ListView.ListViewNativeItemCollection.Add(ListViewItem value)
bei System.Windows.Forms.ListView.ListViewItemCollection.Add(ListViewItem value)
bei Microsoft.Windows.ManagementUI.CombinedControls.EventHomeControl.UpdateLogSummaryUI()
Und dann war es das mit Ereignisanzeige.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 11:49
von Bremer
Habe das Gefühl wenn die logs noch leer sind tritt das bei mir auf, wenn das schon Einträge vorhanden sind mault die Ereignisanzeige nicht rum und ist ja von der Sache her auch nicht die komplette Ereignisanzeige. Der Fehler tritt immer nur bei Admin Ereignissen auf wenn ich das anklicke.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 11:57
von Bremer
So hatte jetzt mal den Weg getestet
Screenshot 2021-07-31 115535.jpg
Bekomme ich Fehlermeldungen aber gelöscht werden die Einträge dennoch
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 12:07
von DK2000
"Administrative Ereignisse" ist nur eine "Benutzerdefinierte Ansicht", welche alle angegebenen Protokolle der Ereinginsziege nach vorgegebenen Filtern abfragt und gesammelt ausgibt. So sieht das bei mir aus:
Code: Alles auswählen
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Security">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="System">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="HardwareEvents">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Internet Explorer">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-AppV-Client/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-AppV-Client/Virtual Applications">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-All-User-Install-Agent/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-AppHost/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Application Server-Applications/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-AppModel-Runtime/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-AppReadiness/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-AssignedAccess/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-AssignedAccessBroker/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Storage-ATAPort/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-BitLocker-DrivePreparationTool/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Client-Licensing-Platform/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DataIntegrityScan/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DataIntegrityScan/CrashRecovery">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DSC/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Autopilot">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DeviceSetupManager/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Dhcp-Client/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Dhcpv6-Client/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Diagnosis-Scripted/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Storage-Disk/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-DxgKrnl-Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-EDP-Application-Learning/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-EDP-Audit-Regular/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-EDP-Audit-TCB/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-GenericRoaming/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Hyper-V-Guest-Drivers/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Hyper-V-Hypervisor-Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Hyper-V-VID-Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Kernel-EventTracing/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-KeyboardFilter/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-ModernDeployment-Diagnostics-Provider/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-ModernDeployment-Diagnostics-Provider/Autopilot">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-ModernDeployment-Diagnostics-Provider/Diagnostics">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-ModernDeployment-Diagnostics-Provider/ManagementService">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-MUI/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-PowerShell/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-PrintBRM/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-PrintService/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Provisioning-Diagnostics-Provider/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Provisioning-Diagnostics-Provider/AutoPilot">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Provisioning-Diagnostics-Provider/ManagementService">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-PushNotification-Platform/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-RemoteApp and Desktop Connections/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-RemoteAssistance/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-RetailDemo/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-SecurityMitigationsBroker/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-SmartCard-TPM-VCard-Module/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-SMBDirect/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-SMBWitnessClient/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Storage-Tiering/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Storage-ClassPnP/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Storage-Storport/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-ClientUSBDevices/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-PnPDevices/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-Printers/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-TerminalServices-ServerUSBDevices/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Troubleshooting-Recommended/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-User Device Registration/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-VerifyHardwareSecurity/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-WindowsBackup/ActionCenter">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Microsoft-Windows-Workplace Join/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="OpenSSH/Admin">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Key Management Service">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Windows PowerShell">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
</Query>
</QueryList>
Bei mir gibt es besagtes USB Protokoll gar nicht. Habe da nur:
Code: Alles auswählen
C:\>wevtutil el|findstr Microsoft-Windows-USB*
Microsoft-Windows-USB-MAUSBHOST-Analytic
Microsoft-Windows-USB-UCX-Analytic
Microsoft-Windows-USB-USBHUB/Diagnostic
Microsoft-Windows-USB-USBHUB3-Analytic
Microsoft-Windows-USB-USBPORT/Diagnostic
Microsoft-Windows-USB-USBXHCI-Analytic
Microsoft-Windows-USB-USBXHCI-Trustlet-Analytic
Oder liegt das bei Dir wirklich daran, dass das Protokoll als Ganzes fehlt? Die Fehlermeldungen sind da nicht immer so eindeutig. Muss mal als Quelle ein ein Phantasieprotokoll eintragen. Mal schauen ,was passiert. Wenn Windows mich da überhaupt ran lässt.
Ok, das gibt einen anderen Fehler:
Screenshot 2021-07-31 121447.png
Das ist es also nicht.
Bekomme ich Fehlermeldungen aber gelöscht werden die Einträge dennoch
Die Fehlermeldungen beziehen sich immer auf das angegeben Protokoll. Alle anderen Protokolle sind davon nicht betroffen. Bei mir sihet das halt so aus:
Code: Alles auswählen
PS C:\> wevtutil el | Foreach-Object {wevtutil cl "$_"}
Fehler beim Löschen des Protokolls "Microsoft-Windows-LiveId/Analytic".
Zugriff verweigert
Fehler beim Löschen des Protokolls "Microsoft-Windows-LiveId/Operational".
Zugriff verweigert
Das ist aber normal. Das ist auch schon mit Windows 10 so. Alle anderen Protokolle werden aber geleert.
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 12:33
von Bremer
jo genau so sieht das auch aus nur mit meinem Berühmten Fehr zusätzlich
Screenshot 2021-07-31 123213.jpg
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 13:40
von DK2000
Was passiert denn, wenn Du versuchts, das Protokoll zu deaktivieren:
Code: Alles auswählen
wevtutil set-log Microsoft-Windows-USBVideo/Analytic /e:false
Re: Fehler beim öffnen der Berichte in der Ereignisanzeige
Verfasst: 31.07.2021, 15:22
von Bremer
Das passiert
Screenshot 2021-07-31 151401.jpg
verstehe den ganzen Zirkus langsam nicht mehr Fehler erscheint aber dann wird er als nicht gültig kategorisiert als ob es ihn nicht gäbe
Mal so nebenbei was nutzt du eigentlich ist ja von der Sache her egal Das normale PowerShell oder das mit ISE am Ende
habe sogar das 86 genommen
