Für das Erfassen von Ereignisverfolgungsprotokollen bzw. Protokollen zur Windows-Fehlerverfolgung für Host Intrusion Prevention (Host IPS) 8.0 für Windows können Sie das Verfolgungsprotokollierungs-Tool "Trace Logging" verwenden:
- Aktivieren Sie die Protokollierung der Fehlerbehebung von Host IPS 8.0. Ausführliche Informationen hierzu finden Sie in KB72869.
- Laden Sie das (an diesen Artikel angehängte) Tool EtlTrace.zip auf das betroffene System herunter, auf dem die Host IPS-Software ausgeführt wird.
- Extrahieren Sie das Tool EtlTrace.zip in ein lokales Verzeichnis.
- Öffnen Sie eine Eingabeaufforderung, indem Sie auf Start und dann auf Ausführen klicken, cmd eingeben und anschließend auf OK klicken.
HINWEIS: Bei Betriebssystemen ab Windows Vista müssen Sie eine Eingabeaufforderung mit Administratorberechtigung öffnen, indem Sie mit der rechten Maustaste auf die Verknüpfung cmd.exe klicken und dann die Option Als Administrator ausführen auswählen.
- Navigieren Sie zu dem Verzeichnis, in das Sie die Datei EtlTrace.zip extrahiert haben, und führen Sie mit Administratorberechtigung den folgenden Befehl aus:
EtlTrace.exe -Start
HINWEIS: Starten Sie den Computer nach Beginn der Ereignisverfolgungsprotokollierung nicht neu, da hierdurch der Protokollierungsprozess abgebrochen wird.
- Reproduzieren Sie das Problem.
- Führen Sie in der Eingabeaufforderung nun folgenden Befehl aus:
EtlTrace.exe -Stop
- Stellen Sie die Dateien EtlTrace.log und Syscore.etl für den technischen Support zusammen.
Bei Betriebssystemen ab Windows Vista unterstützt das Tool EtlTrace.exe auch die Startprotokollierung:
- Aktivieren Sie die Protokollierung der Fehlerbehebung von Host IPS 8.0. Ausführliche Informationen hierzu finden Sie in KB72869.
- Laden Sie das (an diesen Artikel angehängte) Tool EtlTrace.zip auf das betroffene System herunter, auf dem die Host IPS-Software ausgeführt wird.
- Extrahieren Sie das Tool EtlTrace.zip in ein lokales Verzeichnis.
- Öffnen Sie eine Eingabeaufforderung, indem Sie auf Start und dann auf Ausführen klicken, cmd eingeben und anschließend auf OK klicken.
- Navigieren Sie zu dem Verzeichnis, in das Sie die Datei EtlTrace.zip extrahiert haben, und führen Sie den folgenden Befehl aus:
EtlTrace.exe -StartBoot
- Starten Sie den Computer neu.
- Führen Sie in der Eingabeaufforderung folgenden Befehl aus:
EtlTrace.exe -StopBoot
- Stellen Sie die Dateien EtlTrace.log und Syscore.etl für den technischen Support zusammen.
HINWEIS: Bei Systemen mit Windows 2012 R2 stehen bei Verwendung von EtlTrace.exe für die Start-Ereignisverfolgungsprotokollierung maximal 100 KB zur Verfügung. Wenn diese Begrenzung aufgehoben werden soll, fügen Sie vor dem Neustart folgende Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\_Syscore_Etl_Trace
(DWORD) BufferSize = 0x20
(DWORD) MaximumBuffers = 0x40
ACHTUNG: Dieser Artikel enthält Informationen zum Öffnen oder Ändern der Registrierung.
- Die folgenden Informationen richten sich an Systemadministratoren. Änderungen an der Registrierung können nicht rückgängig gemacht werden und können einen Systemfehler hervorrufen, wenn sie nicht ordnungsgemäß vorgenommen werden.
- Bevor Sie diesen Vorgang fortsetzen, sollten Sie unbedingt die Registrierung sichern. Außerdem sollten Sie mit dem Wiederherstellungsprozess vertraut sein. Weitere Informationen finden Sie unter http://support.microsoft.com/kb/256986.
-
Führen Sie keine REG-Datei aus, deren Import aus der Registrierung nicht bestätigt ist.