Windows-Defender-Protokoll anzeigen

Als Familien-Admin sitze ich häufiger vor einem zickenden Windows-10-PC, bei dem der Besitzer mal wieder "nichts gemacht" hat. Als Virenschutzprogramm läuft überall nur der Windows Defender, weil der ja laut c’t längst ausreicht. Doch wie finde ich heraus, ob er einen Schädling gefunden hat, falls der Besitzer die Meldung bereits weggeklickt hat?

Dazu gibt es zwei Anlaufstellen. Die übersichtlichere finden Sie, wenn Sie beispielsweise im Infobereich der Taskleiste (neben der Uhr) via Kontextmenü des Schild-Symbols des Defenders auf "Sicherheitsdashboard anzeigen" klicken. Dort klicken Sie nacheinander erst auf "Viren- & Bedrohungsschutz" und dann auf "Schutzverlauf". Darin archiviert der Defender die Benachrichtigungen.

Ein deutlich ausführlicheres Protokoll steht in der Ereignisanzeige. Die finden Sie, wenn Sie Windows+X drücken und den gleichnamigen Eintrag auswählen. Das Protokoll des Defenders erreichen Sie darin unter "Anwendungs- und Dienstprotokolle/Microsoft/Windows/WindowsDefender/Operational". Details zu den verschiedenen Ereignis-IDs hat Microsoft auf einer Website zusammengetragen, eine Einführung in die Ereignisanzeige haben wir 2016 veröffentlicht. (axv)