Juni-Sicherheitsupdates sabotieren Ereignisanzeige in allen Windows-Versionen
Die Ereignisanzeige stürzt ab, wenn "Benutzerdefinierte Ansichten" gewählt werden. Microsoft will das Ende Juni 2019 fixen; bis dahin helfen Workarounds.
Bereits kurz nachdem die Windows-Sicherheitsupdates für Juni 2019 verteilt wurden, häuften sich in diversen Foren Beiträge von Administratoren, dass die Ereignisanzeige für Windows 10 Version 1809 und Version 1903 beim Abrufen von Einträgen im Zweig "Benutzerdefinierte Ansichten" streike.
So genannte benutzerdefinierte Ansichten ermöglichen Administratoren, gefilterte Auswertungen der Ereignisprotokollierung nach selbst festlegbaren Kriterien komfortabel per Mausklick anzeigen zu lassen. Sie können manuell in der Ereignisanzeige von Windows angelegt und später durch Anwahl des besagten Zweigs wieder abgerufen werden.
Wählt ein Benutzer in der Ereignisanzeige nach Installation der Juni-Updates nun eine solche Ansicht an, stürzt das Programm MMC.exe derzeit aber mit dem Hinweis ab, dass ein "Fehler in einem Snap-In" festgestellt wurde und dieses nun entfernt werde. Bei MMC.exe handelt es sich um die Microsoft Management Console, der grafischen Benutzeroberfläche für die Computerverwaltung.
Nur benutzerdefinierte Ansichten provozieren Abstürze
Der Nutzer kann den Fehler entweder an Microsoft melden oder das Snap-In aus der Ereignisanzeige entfernen lassen. Das Resultat ist in beiden Fällen dasselbe: Das Snap-In funktioniert nicht mehr. Im Falle der Entfernung liefert die MMC zusätzlich noch einen Fehlerdump mit Informationen, die zumindest für einen Workaround nutzbar sind. Dazu jedoch später mehr.
Das Problem ist: Nach Anwahl einer benutzerdefinierten Ansicht und dem darauf folgenden Absturz der Ereignisanzeige lässt sich das Programm überhaupt nicht mehr nutzen. Denn jeder erneute Aufruf der Ereignisanzeige provoziert die obige Fehlermeldung ein weiteres Mal.
Im Zusammenhang mit vordefinierten (Standard-)Ansichten tritt der Fehler nicht auf.
Microsoft bestätigt Problem und nennt betroffene Versionen
Betroffen sind demnach die folgenden Client- und Server-Versionen von Windows:
- Client: Windows 10 Version 1903; Windows 10 Version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Version 1803; Windows 10Version 1709; Windows 10 Version 1703; Windows 10 Version 1607; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
- Server: Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
Mit anderen Worten: Das volle Programm. Im Support-Beitrag KB4508640 schreibt Microsoft, dass es an der Beseitigung des Bugs arbeite und hoffe, gegen Ende Juni 2019 einen Patch anbieten zu können.
PowerShell-Workaround zum Anzeigen benutzerdefinierter Ansichten
Im Support-Beitrag KB4508640 skizziert Microsoft einen Workaround in Gestalt eines kurzen PowerShell-Skripts, mit dem Administratoren selbst definierte Ansichten für Ereignisse abfragen könnten.
Der Autor dieses Artikels hat auf Basis dieses Workarounds selbst zwei PowerShell-Skripte entwickelt, die sowohl die Ereignisanzeige wieder nutzbar machen als auch das Abfragen benutzerdefinierter Ansichten für Ereignisse ermöglichen. Zur Ausgabe der unter "Benutzerdefinierte Ansichten" gefundenen Einträge führt man sie in einer PowerShell-Konsole oder der PowerShell ISE aus.
Die besagten Skripte hängen als ZIP-Archiv einem externen Blogeintrag des Autors dieser Meldung an; die Nutzung erfolgt auf eigenes Risiko.
Workaround, um die Ereignisanzeige wieder aufrufen zu können
Es gibt noch einen zweiten inoffiziellen Workaround, der ursprünglich auf deskmodder.de vorgeschlagen wurde. Das für die Ereignisanzeige verwendete Snap-In speichert über MMC.exe die Konfiguration der benutzerdefinierten Ansichten in XML-Dateien mit dem Namen View_0.xml, wobei die Ziffer 0 für eine fortlaufende Nummerierung dieser Ansichten steht.
Im Absturzbericht für den Ausnahmefehler im Snap-In des Programms findet sich der Hinweis, dass der Prozess der Ereignisanzeige nicht auf diese Datei zugreifen könne. Konkret werden Fehler wie “Der Prozess kann nicht auf die Datei “C:\ProgramData\Microsoft\Event Viewer\Views\View_0.xml zugreifen, da sie von einem anderen Prozess verwendet wird” gemeldet.
Wie eine Überprüfung des Autors dieser Meldung ergeben hat, befindet sich die besagte XML-Datei entweder unter
C:\ProgramData\Microsoft\Event Viewer\Views\
oder im Profilordner des Benutzers im Pfad
C:\Users\<Konto>\AppData\Local\Microsoft\Event Viewer\Views\
<Konto> ist hier der Platzhalter für den Profilnamen des Benutzerkontos.
Mit diesem Wissen kann man via Explorer zu den oben genannten Pfaden navigieren, um die im Ordner "Views" gespeicherten xml-Dateien zu löschen oder an einen anderen Ort zu verschieben. Das Löschen der xml-Dateien hat den Nachteil, das die Konfigurierung der benutzerdefinierten Ansichten verloren geht. Besser ist es, einen Unterordner beliebigen Namens anzulegen und die xml-Dateien dorthin zu verschieben.
Nach dem Entfernen der xml-Dateien aus den Views-Unterordnern der oben genannten Pfade lässt sich die Ereignisanzeige zumindest wieder starten und zur Anzeige der Ereignisse verwenden. Allerdings darf keine neue benutzerdefinierte Ansicht erstellt werden, da dann das gleiche Spiel mit Abstürzen der Ereignisanzeige von neuem beginnt.
Auch die Nutzung dieses zweiten inoffiziellen Workarounds geschieht auf eigenes Risiko. Vielleicht hilft er jedoch weiter, bis Microsoft Ende Juni 2019 (hoffentlich) einen Bug-Fix bereitstellt. (ovw)
