Windows Aufgabenplanung: Logeinträge in der Ereignisanzeige?

[eloy33 0]

Hallo, ich habe hier einen Windows Server 2016. In der Aufgabenplanung werden Aufgaben angelegt usw. - kennt ihr ja. Dann gibt es die Windows-Ereignisanzeige.

Dort z.B. unterhalb von "Anwendungs- und Dienstprotokolle", Microsoft, Windows: den TaskScheduler.

 

Mein Problem: angenommen, eine Aufgabe wird angelegt, gestartet und ist dann fertig: ich hätte erwartet, dass im obigen Ereignisprotokoll ein Eintrag erfolgt.

Also: gibt es in der Ereignisanzeige ein Protokoll, in dem der Taskplaner generell die Anlage, den Start und den Stop von Aufgaben protokolliert?

 

Wollte das gerade mit dem vom Adobe Reader erstellten update-Task probieren: ich starte diesen Adobe Update Task, der dauert keine 4 Sekunden, dann ist es wieder beendet.

Aber leider finde ich in den Standardevents keinen Eintrag dazu... hm.

 

Kennt ihr da eine Lösung für die Anlage von Tasks, Start und Stop?

 

Alois

[NilsK 2.939]

Moin,

 

in der Aufgabenplanung selbst wird das bei dem jeweiligen Task angezeigt. Reicht das nicht aus?

 

Gruß, Nils

 

[eloy33 0]

Ok. Guter Ansatz. Vielen Dank, Nils. Leider ist auf dem Server der "Verlauf für alle Aufgaben" deaktiviert. Somit ist die Liste der bestehenden und neuen Aufgaben leer.

Daher die Frage, ob es wohl noch eine Eventlog gibt. Frage noch: angenommen der Verlauf wäre aktiv: in welcher Datei im Filesystem wären dann die Dateien für diese Log gespeichert? Gibt es auch eine Datei, in der die Aufgaben gespeichert sind oder wird das über die Registry abgebildet?

 

UPDATE1:

Habe diese Ablageorte gefunden:

Filesystem: C:\Windows\System32\Tasks

Registry: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks

Beide Einträge sind weg, wenn der dazugeh. Task gelöscht wird.

In den beiden Locations fehlt mir jetzt noch die Historie, falls diese in der Vergangenheit mal aktiv gewesen ist...

Nils, weist Du zufällig, wo die Location der Task-Historie abgelegt ist?

Danke nochmals.

 

UPDATE2:

Jetzt wirds langsam: wenn "Verlauf für alle Aufgaben" aktiviert ist, dann werden auch die Eventlogs unter "TaskScheduler" gefüllt. Diese wiederum in Datei in C:\Windows\System32\winevt\Logs .... gespeichert.

Super. Danke für eure Unterstützung. Manchmal fehlt nur der richtige Anstoß!!

 

 

bearbeitet 19. Juli 2023 von eloy33

[daabm 1.356]

Klingt irgendwie logisch: Wenn man das Logging abschaltet, wird nichts protokolliert

[eloy33 0]

Ja...hast Recht. Kriegst an Pokal dafür. 

[t-sql 18]

Das Logging für die Tasks ist per default ausgeschaltet und muss manuell aktiviert werden. Außerdem sieht man das sehr wohl im Eventlog Applications and Services Logs / Microsoft / Windows / TaskScheduler /

 

[eloy33 0]

Ja, danke für den Hinweis.  Kennst Du zufällig den Ort in der Registry, an dem man erkennt, dass das Logging ausgeschaltet ist? Ich muss das an einem offline-System prüfen, das von einer Ransomware verschlüsselt wurde. Danke dafür!

[eloy33 0]

Habe den Key gefunden. Der Key bzw. eine der Keys, die anzeigen ob "Verlauf für alle Aufgaben" aktiv oder deaktiv ist, wird hier abgelegt:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-TaskScheduler/Operational/Enabled.

Gruß und einen schönen Tag noch.