{"id":390105,"date":"2025-07-21T15:22:53","date_gmt":"2025-07-21T15:22:53","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=390105"},"modified":"2025-07-21T15:22:53","modified_gmt":"2025-07-21T15:22:53","slug":"schritt-fuer-schritt-anleitung-herunterfahren-und-neustarts-in-der-ereignisanzeige-finden","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/schritt-fuer-schritt-anleitung-herunterfahren-und-neustarts-in-der-ereignisanzeige-finden\/","title":{"rendered":"Schritt-f\u00fcr-Schritt-Anleitung: Herunterfahren und Neustarts in der Ereignisanzeige finden"},"content":{"rendered":"<p>In diesem Artikel erfahren Sie <strong>, wie Sie Windows-Ereignisprotokolle lesen k\u00f6nnen<\/strong>. Die Event-Viewer-Ansicht in Windows ist das wichtigste Tool zur \u00dcberpr\u00fcfung detaillierter Protokolle von Systemaktivit\u00e4ten, einschlie\u00dflich Herunterfahren und Neustart. Dieses Tool ist auf allen Windows-Systemen verf\u00fcgbar und bietet eine unkomplizierte M\u00f6glichkeit, auf Ereignisdaten zuzugreifen, sie zu \u00fcberwachen und zu analysieren.<\/p>\n<h2>Zugriff auf die Ereignisanzeige in Windows<\/h2>\n<p>Der Zugriff auf die Ereignisanzeige ist der erste Schritt, um zu verstehen, wie man Windows-Ereignisprotokolle liest. So greifen Sie auf die Ereignisanzeige zu:<\/p>\n<ul>\n<li>Dr\u00fccken Sie im Dialogfeld Ausf\u00fchren die Tastenkombination &#8222;Windows + R&#8220;, geben Sie &#8222;eventvwr.msc&#8220; ein und dr\u00fccken Sie die Eingabetaste. Diese Methode \u00f6ffnet die Ereignisanzeige schnell und wird h\u00e4ufig verwendet.<\/li>\n<li>PowerShell verwenden: Besonders n\u00fctzlich f\u00fcr den Fernzugriff ist das Cmdlet &#8222;Get-EventLog&#8220;, mit dem Sie mit PowerShell Protokolle von mehreren Systemen abrufen k\u00f6nnen. Diese Option ist in gr\u00f6\u00dferen, verteilten Umgebungen n\u00fctzlich, in denen mehrere Ger\u00e4te \u00fcberwacht werden m\u00fcssen.<\/li>\n<li>Klicken Sie im Windows-Men\u00fc Verwaltung mit der rechten Maustaste auf die Schaltfl\u00e4che Start, w\u00e4hlen Sie &#8222;Windows PowerShell (Admin)&#8220; und geben Sie &#8222;eventvwr&#8220; ein, um die Ereignisanzeige zu \u00f6ffnen.<\/li>\n<\/ul>\n<p>In der Ereignisanzeige sehen Sie auf der linken Seite eine Konsolenstruktur mit Kategorien wie Anwendung, Sicherheit, Einrichtung, System und weitergeleitete Ereignisse.<\/p>\n<div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">Verfolgen, analysieren und reagieren Sie auf wichtige Ereignisse mit der leistungsstarken Windows Endpoint Management von NinjaOne.<\/span><\/p>\n<p>\u2192 Erfahren Sie mehr \u00fcber das <a href=\"https:\/\/www.ninjaone.com\/de\/endpoint-management\/windows-management\/\">Windows Endpoint Management von NinjaOne<\/a>.<\/p>\n<\/div>\n<h2>So lesen Sie die Windows-Ereignisprotokolle nach Ereignis-IDs f\u00fcr das Herunterfahren und den Neustart<\/h2>\n<p>Die folgenden Anweisungen helfen Ihnen, die Ereignis-IDs richtig zu interpretieren, damit Sie geplante und unerwartete Abschaltungen oder Neustarts erkennen und unterscheiden k\u00f6nnen.<\/p>\n<h3>Suche nach Ereignissen in der Ereignisanzeige zum Herunterfahren anhand der Ereignis-ID<\/h3>\n<p>Im Systemprotokoll sind die Ereignis-IDs von Shutdown-Ereignissen in der Ereignisanzeige durch eindeutige Nummern gekennzeichnet, wobei die Ereignis-ID 1074 die h\u00e4ufigste Kennung f\u00fcr Shutdowns ist. Diese Ereignis-ID protokolliert Informationen \u00fcber Abschaltungen, die von Benutzern, Updates oder Anwendungen initiiert wurden.<\/p>\n<p>Die Ereignis-ID 1074 erfasst Details wie das f\u00fcr das Herunterfahren verantwortliche Benutzerkonto, den Prozess, der es ausgel\u00f6st hat, und den Grundcode, der angibt, ob das Herunterfahren geplant oder ungeplant war.<\/p>\n<p>Wenn Sie die Ereignisbeschreibung verstehen, k\u00f6nnen Sie den Kontext der Abschaltung besser nachvollziehen.<\/p>\n<h3>Auffinden von Neustart-Ereignissen anhand der Ereignis-ID<\/h3>\n<p>Neustarts folgen in der Regel einer mehrstufigen Sequenz im Ereignisprotokoll, beginnend mit der Ereignis-ID 1074 (\u00e4hnlich wie beim Herunterfahren) und fortschreitend durch andere Ereignisse, die Neustartaktivit\u00e4ten verfolgen.<\/p>\n<ul>\n<li>Die Ereignis-ID 6008 weist auf eine unerwartete Abschaltung hin, z. B. infolge eines Stromausfalls oder Systemabsturzes. Sie k\u00f6nnen dieses Ereignis verwenden, um ungeplante Neustarts zu untersuchen und Querverweise mit anderen Ereignissen zu erstellen, um die Ursache zu finden.<\/li>\n<li>Die Ereignis-IDs 6005 und 6006 stehen f\u00fcr saubere Starts und Shutdowns und kennzeichnen den Abschluss einer normalen Start- oder Shutdown-Sequenz. In Verbindung mit anderen Ereignissen k\u00f6nnen diese einen zeitlichen \u00dcberblick dar\u00fcber geben, wie und wann der Neustart erfolgte.<\/li>\n<\/ul>\n<p>Diese Eintr\u00e4ge bieten einen detaillierten \u00dcberblick \u00fcber die Neustartsequenzen und erm\u00f6glichen es Ihnen, Probleme zu erkennen, die die Systemstabilit\u00e4t beeintr\u00e4chtigen k\u00f6nnten.<\/p>\n<h3>Verstehen von Zeitstempeln und Details in Ereignisprotokollen<\/h3>\n<p>Wenn Sie Windows-Ereignisprotokolle lesen, werden die Zeitstempel zun\u00e4chst in UTC gespeichert, aber in lokaler Zeit angezeigt, so dass Sie Ereignisse in verschiedenen Zeitzonen genau zuordnen k\u00f6nnen.<\/p>\n<ul>\n<li>Die Ereignisquelle identifiziert die spezifische Windows-Komponente, die den Protokolleintrag erzeugt hat.<\/li>\n<li>Aufgabenkategorien gruppieren zusammenh\u00e4ngende Ereignisse und helfen Ihnen dabei, Ereignisse zu organisieren und zu verstehen, wie sie sich auf verschiedene Systemkomponenten beziehen.<\/li>\n<li>Die Schweregrade (Information, Warnung, Fehler und Kritisch) helfen Ihnen, wichtige Probleme schnell zu erkennen.<\/li>\n<\/ul>\n<h2>Gemeinsame Ereignis-IDs f\u00fcr Abschalt- und Neustart-Ereignisse<\/h2>\n<p>Wenn Sie die wichtigsten Ereignis-IDs f\u00fcr das Herunterfahren kennen und wissen, welche Windows-Ereignisse einen Neustart anzeigen, k\u00f6nnen Sie Ihre Analyse und Fehlersuche optimieren. Diese Ereignis-IDs kennzeichnen verschiedene Arten von Abschaltungen, von erwarteten Wartungsereignissen bis hin zu pl\u00f6tzlichen Systemabst\u00fcrzen.<\/p>\n<h3>Ereignis-IDs f\u00fcr unerwartete Abschaltungen<\/h3>\n<p>Unerwartete Abschaltungen sind oft auf Stromausf\u00e4lle, Hardwareprobleme oder Softwareabst\u00fcrze zur\u00fcckzuf\u00fchren und hinterlassen deutliche Muster in den Windows-Ereignisprotokollen.<\/p>\n<ul>\n<li>Ereignis-ID 41 signalisiert einen Systemneustart, der ohne ein sauberes Herunterfahren erfolgte. Dies kann auf Stromausf\u00e4lle oder erzwungene Neustarts hindeuten und gibt oft Aufschluss \u00fcber den Zustand des Systems, bevor es sich abschaltet.<\/li>\n<li>Die Ereignis-ID 1001 erfasst Informationen zu Problemen mit der Kernel-Energieversorgung und gibt Aufschluss \u00fcber m\u00f6gliche Ursachen wie Hardwarefehler, \u00dcberhitzung oder Treiberkonflikte, die das Herunterfahren ausgel\u00f6st haben k\u00f6nnten.<\/li>\n<\/ul>\n<h3>Ereignis-IDs f\u00fcr geplante Abschaltungen<\/h3>\n<p>Geplante Abschaltungen erzeugen spezifische Ereignisprotokolle, die dazu beitragen, die Systemkonformit\u00e4t aufrechtzuerhalten und die erfolgreichen Wartungsaktivit\u00e4ten zu \u00fcberpr\u00fcfen.<\/p>\n<ul>\n<li>Die Ereignis-ID 1074 erfasst geplante Abschaltungen, die von Benutzern, geplanten Aufgaben oder Systemaktualisierungen initiiert werden. In verwalteten Umgebungen best\u00e4tigen diese Eintr\u00e4ge, dass das Herunterfahren mit Wartungsfenstern und Aktualisierungspl\u00e4nen \u00fcbereinstimmt.<\/li>\n<li>Durch Gruppenrichtlinien initiierte Shutdowns erzeugen zus\u00e4tzliche Ereignisse, die die Anwendung von Richtlinien dokumentieren, die Einhaltung von Shutdown-Protokollen sicherstellen und \u00fcberpr\u00fcfen, ob die Benutzer ordnungsgem\u00e4\u00dfe Benachrichtigungen erhalten.<\/li>\n<\/ul>\n<h3>Ereignis-IDs f\u00fcr Systemneustarts<\/h3>\n<p>Neustarts im Zusammenhang mit Aktualisierungen oder anderen geplanten Wartungsaktivit\u00e4ten erzeugen bestimmte Muster in den Ereignisprotokollen:<\/p>\n<ul>\n<li>Die Ereignis-ID 1033 steht im Zusammenhang mit Neustarts von Windows Update, gefolgt von der \u00fcblichen Sequenz zum Herunterfahren und Starten.<\/li>\n<li>Der Schnellstartmodus kann herk\u00f6mmliche Shutdown-Ereignisse umgehen und einen hybriden Shutdown-Eintrag erstellen, der sich von regul\u00e4ren Shutdown-Protokollen unterscheidet.<\/li>\n<\/ul>\n<h3>Andere relevante Ereignis-IDs<\/h3>\n<p>Zus\u00e4tzliche Ereignis-IDs liefern wertvollen Kontext f\u00fcr die Shutdown-Analyse, insbesondere bei der Fehlersuche bei komplexen Problemen.<\/p>\n<ul>\n<li>Ereignis-ID 1076 weist auf einen fehlgeschlagenen Neustartversuch hin, der h\u00e4ufig auf Konflikte oder Fehler zur\u00fcckzuf\u00fchren ist.<\/li>\n<li>Die Ereignis-IDs 42-44 protokollieren \u00dcberg\u00e4nge in den Ruhezustand oder den Hibernate-Zustand, die sich auf die Energieversorgung des Systems auswirken und mit dem Herunterfahren korrelieren k\u00f6nnen.<\/li>\n<\/ul>\n<p>Sie werden auch h\u00e4ufig Ereignisse des Service Control Managers (IDs 7000-7040) im Zusammenhang mit dem Herunterfahren sehen.<\/p>\n<h2>Interpretation von Ereignisprotokolldetails zur Fehlerbehebung<\/h2>\n<p>F\u00fcr eine wirksame Fehlerbehebung m\u00fcssen Sie die Details des Ereignisprotokolls systematisch analysieren. Legen Sie zun\u00e4chst fest, welche Windows-Ereignisse das Herunterfahren und den Neustart anzeigen sollen, einschlie\u00dflich der durchschnittlichen Zeiten f\u00fcr das Herunterfahren des Systems, der \u00fcblichen Sequenzen und der erwarteten Verhaltensweisen.<\/p>\n<p>Gehen Sie bei der Untersuchung von Problemen beim Herunterfahren oder Neustart wie folgt vor:<\/p>\n<ol>\n<li>Erstellen Sie eine Zeitleiste der Ereignisse unmittelbar vor und nach der Abschaltung, einschlie\u00dflich aller Warnmeldungen, Anwendungsfehler oder Ressourcenwarnungen, die dazu beigetragen haben k\u00f6nnten.<\/li>\n<li>Vergleichen Sie die Protokolle in den Kategorien System und Anwendung, um einen vollst\u00e4ndigen \u00dcberblick \u00fcber den Systemzustand zu erhalten, der zu dem Ereignis gef\u00fchrt hat. Dies ist besonders n\u00fctzlich, wenn das Herunterfahren mit Anwendungsfehlern oder Sicherheitswarnungen verbunden zu sein scheint.<\/li>\n<li>\u00dcberwachen Sie die Leistungsdaten und \u00fcberpr\u00fcfen Sie die Systemereignisse auf Anzeichen f\u00fcr eine Ersch\u00f6pfung der Ressourcen, Warnungen vor Treiber-Timeouts oder Festplattenfehler. Diese Muster k\u00f6nnen zugrundeliegende Ursachen wie unzureichende Ressourcen oder Hardware-Fehler aufdecken.<\/li>\n<\/ol>\n<h2>Bew\u00e4hrte Verfahren zur \u00dcberwachung und Verwaltung von Windows-Ereignisprotokollen<\/h2>\n<p>Die Einf\u00fchrung effizienter Protokollverwaltungspraktiken ist f\u00fcr die Aufrechterhaltung der Systemzuverl\u00e4ssigkeit und die Einhaltung von Compliance-Anforderungen unerl\u00e4sslich. Hier sind einige wichtige bew\u00e4hrte Verfahren:<\/p>\n<ul>\n<li>Legen Sie Gr\u00f6\u00dfenbeschr\u00e4nkungen f\u00fcr die Protokolle auf der Grundlage von Systemressourcen und Aufbewahrungsanforderungen fest, um den Bedarf an detaillierten Protokollen mit den Speicherbeschr\u00e4nkungen in Einklang zu bringen.<\/li>\n<li>Archivieren Sie Protokolle regelm\u00e4\u00dfig, um historische Daten f\u00fcr Trendanalysen, Compliance- und Audit-Zwecke zu erhalten.<\/li>\n<li>Die Zentralisierung von Ereignisprotokollen vereinfacht die Verwaltung von Umgebungen mit mehreren Systemen und erm\u00f6glicht eine effiziente Suche, Korrelation und Alarmierung.<\/li>\n<li>Windows Event Forwarding sammelt Protokolle von mehreren Ger\u00e4ten in einem zentralen Repository und erm\u00f6glicht so eine optimierte \u00dcberwachung und Fehlerbehebung in Ihrer gesamten Infrastruktur.<\/li>\n<li>Benutzerdefinierte Ansichten, die auf bestimmte Ereignis-IDs zugeschnitten sind, helfen Ihnen bei der effizienten \u00dcberwachung von Abschalt- und Neustart-Ereignissen. Diese Ansichten erm\u00f6glichen eine schnellere Fehlerbehebung, indem relevante Ereignisse auf der Grundlage von Schweregraden und Kategorien angezeigt werden.<\/li>\n<\/ul>\n<div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">Von Einblicken in das Ereignisprotokoll bis hin zur Endpunkteverwaltung, r\u00fcstet NinjaOne IT-Teams mit den Werkzeugen aus, die sie zum Erfolg ben\u00f6tigen.<\/span><\/p>\n<p><a href=\"https:\/\/www.ninjaone.com\/de\/endpunkt-management-kostenlos-testen\/\">Starten Sie Ihre kostenlose Testversion<\/a> von NinjaOne Endpunkteverwaltung<\/p>\n<\/div>\n<h3>Automatisierung und Aufbewahrungsrichtlinien<\/h3>\n<p>Die Automatisierung kann die Protokollanalyse erheblich erleichtern, insbesondere in Umgebungen mit zahlreichen Clients oder Ger\u00e4ten. Sie k\u00f6nnen <a href=\"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-management\/was-ist-powershell\/\">PowerShell-Skripte<\/a> verwenden, um Protokolle \u00fcber mehrere Clients hinweg zu analysieren, wiederkehrende Muster zu erkennen und Berichte zu erstellen, die einen Einblick in den Systemzustand geben.<\/p>\n<p>Dar\u00fcber hinaus sollten Sie klare Aufbewahrungsrichtlinien festlegen, um ein Gleichgewicht zwischen den Speicherkosten und den analytischen Anforderungen herzustellen und dabei die gesetzlichen Vorschriften und die Anforderungen an die Servicequalit\u00e4t zu ber\u00fccksichtigen. Dokumentieren Sie die Verfahren zur Protokollverwaltung, um eine einheitliche Vorgehensweise in Ihrem Unternehmen zu gew\u00e4hrleisten.<\/p>\n<p>Die Umsetzung dieser Best Practices hilft Ihnen, Windows-Ereignisprotokolle besser zu verstehen und Ereignisprotokolle effektiv zu \u00fcberwachen, zu verwalten und zu analysieren, damit Ihre Systeme reibungslos funktionieren und m\u00f6gliche Probleme minimiert werden.<\/p>\n<p>Mit\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/endpoint-management\/\">NinjaOnes Endpunkt-Management-Plattform<\/a> erhalten Sie die Werkzeuge, um die Protokoll\u00fcberwachung zu optimieren, Probleme beim Herunterfahren zu beheben und eine proaktive System\u00fcberwachung sicherzustellen &#8211; alles in einer zentralen L\u00f6sung.\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/kostenlosetestversionformular\/\">Starten Sie <\/a>noch heute <a href=\"https:\/\/www.ninjaone.com\/de\/kostenlosetestversionformular\/\">eine kostenlose Testversion<\/a>\u00a0von\u00a0<a href=\"https:\/\/ninjaone.com\/\" target=\"_blank\" rel=\"noopener\">NinjaOne<\/a>\u00a0, um Ihr Endpunkt-Management zu verbessern und Ihre Systeme reibungslos laufen zu lassen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Artikel erfahren Sie , wie Sie Windows-Ereignisprotokolle lesen k\u00f6nnen. Die Event-Viewer-Ansicht in Windows ist das wichtigste Tool zur \u00dcberpr\u00fcfung detaillierter Protokolle von Systemaktivit\u00e4ten, einschlie\u00dflich Herunterfahren und Neustart. Dieses Tool ist auf allen Windows-Systemen verf\u00fcgbar und bietet eine unkomplizierte M\u00f6glichkeit, auf Ereignisdaten zuzugreifen, sie zu \u00fcberwachen und zu analysieren. Zugriff auf die Ereignisanzeige in [&hellip;]<\/p>\n","protected":false},"author":89,"featured_media":384947,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4356],"tags":[],"class_list":["post-390105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-betrieb"],"acf":[],"modified_by":"Sila Willsch","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/390105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=390105"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/390105\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/384947"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=390105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=390105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=390105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}