eloy33

Habe den Key gefunden. Der Key bzw. eine der Keys, die anzeigen ob "Verlauf für alle Aufgaben" aktiv oder deaktiv ist, wird hier abgelegt: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-TaskScheduler/Operational/Enabled. Gruß und einen schönen Tag noch.

Ja, danke für den Hinweis. Kennst Du zufällig den Ort in der Registry, an dem man erkennt, dass das Logging ausgeschaltet ist? Ich muss das an einem offline-System prüfen, das von einer Ransomware verschlüsselt wurde. Danke dafür!

Ja...hast Recht. Kriegst an Pokal dafür.

Ok. Guter Ansatz. Vielen Dank, Nils. Leider ist auf dem Server der "Verlauf für alle Aufgaben" deaktiviert. Somit ist die Liste der bestehenden und neuen Aufgaben leer. Daher die Frage, ob es wohl noch eine Eventlog gibt. Frage noch: angenommen der Verlauf wäre aktiv: in welcher Datei im Filesystem wären dann die Dateien für diese Log gespeichert? Gibt es auch eine Datei, in der die Aufgaben gespeichert sind oder wird das über die Registry abgebildet? UPDATE1: Habe diese Ablageorte gefunden: Filesystem: C:\Windows\System32\Tasks Registry: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks Beide Einträge sind weg, wenn der dazugeh. Task gelöscht wird. In den beiden Locations fehlt mir jetzt noch die Historie, falls diese in der Vergangenheit mal aktiv gewesen ist... Nils, weist Du zufällig, wo die Location der Task-Historie abgelegt ist? Danke nochmals. UPDATE2: Jetzt wirds langsam: wenn "Verlauf für alle Aufgaben" aktiviert ist, dann werden auch die Eventlogs unter "TaskScheduler" gefüllt. Diese wiederum in Datei in C:\Windows\System32\winevt\Logs .... gespeichert. Super. Danke für eure Unterstützung. Manchmal fehlt nur der richtige Anstoß!!

Hallo, ich habe hier einen Windows Server 2016. In der Aufgabenplanung werden Aufgaben angelegt usw. - kennt ihr ja. Dann gibt es die Windows-Ereignisanzeige. Dort z.B. unterhalb von "Anwendungs- und Dienstprotokolle", Microsoft, Windows: den TaskScheduler. Mein Problem: angenommen, eine Aufgabe wird angelegt, gestartet und ist dann fertig: ich hätte erwartet, dass im obigen Ereignisprotokoll ein Eintrag erfolgt. Also: gibt es in der Ereignisanzeige ein Protokoll, in dem der Taskplaner generell die Anlage, den Start und den Stop von Aufgaben protokolliert? Wollte das gerade mit dem vom Adobe Reader erstellten update-Task probieren: ich starte diesen Adobe Update Task, der dauert keine 4 Sekunden, dann ist es wieder beendet. Aber leider finde ich in den Standardevents keinen Eintrag dazu... hm. Kennt ihr da eine Lösung für die Anlage von Tasks, Start und Stop? Alois