Windows Error Reporting: ein häufiges Missverständnis

Immer wieder stolpere ich in Foren, Beiträgen und Unterhaltungen über die Frage, was die vielen Meldungen des WER (Windows Error Reporting) im Anwendungs- Eventlog des Betriebssystem zu bedeuten haben und wie man diese „beheben“ kann. Das Internet ist voll von Hinweisen. Teilweise finden dabei lustige Lösungsansätze, wie etwa der Tipp den Dienst WerSvc zu deaktivieren, den Weg in allgemeine IT-Foren. Einen weiterer Tipp besagt man solle in der Aufgabenplanung die Aufgabe QueueReporting, die für das triggern des WerSvc-Dienstes zuständig ist, deaktivieren. Das kann man alles machen… Nicht!

Vorab: Beheben kann man diese Meldungen nicht. Meldungen sollten grundsätzlich nicht behoben werden, vielmehr sollte die Mühe darin liegen das Problem mittels Ursachenforschung zu lösen.

Der WER dient lediglich der Sammlung von Fehlerberichten, nicht aber zur Ereignisgenerierung, geschweige denn löst der Dienst die Fehler aus.

Im Awendungs- Eventlog tritt der WER als Quelle: Windows Error Reporting mit ID: 1001 zum Vorschein. In der Regel begleitet von einem kurzen Überblick, welche Komponente im System betroffen war und wo sich der erzeugte Bericht befindet bzw. befand.

Die Berichte sind in der ReportQueue zu finden, denn in dieser werden die Fehlerberichtserstattungen verarbeitet. Zu vergleichen ist dies mit einer Druckerwarteschlange für spezielle Systemfehlerberichte. Die Berichte weisen ein bestimmtes Format auf und sind im Klartext in einem Texteditor lesbar.

Siehe hierzu: https://docs.microsoft.com/de-de/windows/deployment/upgrade/windows-error-reporting

Der Pfad zur ReportQueue lautet standardmäßig:

%ProgramData%\Microsoft\Windows\WER\ReportQueue

Es nervt! oder nicht?

Ein nerviges Phänomen kann es jedoch sein, dass die ReportQueue veraltet Ereignisse immer neu und wiederholt verarbeitet. So erscheint im Awendnungs- Eventlog in regelmäßigen Abständen immer wieder der Hinweis (Event-ID: 1001), dass ein Windows-Fehlerbericht erstellt wurde. Dieser Zustand kann bspw. bei einem unerwarteten Systemneustart bzw. Absturz entstehen.

Genau hier liegt oft das Missverständnis. Es handelt sich bei den Meldungen nicht um aktive Fehlermeldungen, sondern um Berichte über einen Fehler. Dies können zwar noch aktive bzw. bestehende Fehler sein, genauso so gut aber auch ältere bereits nicht mehr relevante Probleme.

Weisen die Berichte bspw. Fehlerereignisse auf die in der Vergangenheit liegen und bereits behoben wurden, können die Berichte verworfen werden. Ein kurzer Blick in den Bericht Report.wer kann dabei Aufschluss geben.

Am einfachsten bereinigt man die ReportQueue sowie alle Fehlerberichte über die Datenträgerbereinigung. Alternativ können die Berichte aber auch manuell aus der Queue entfernt werden. Nachdem die Datenträgerbereinigung für Fehlerberichte durchgeführt wurde, sollten alle WER relevanten Ordner geleert sein. Auch die immer wiederkehrenden Meldungen im Eventlog sollten ab diesem Zeitpunkt ein Ende finden. Bestehen weiterhin aktive Probleme bei einer Applikation oder Windows-Systemkomponente, so werden selbstverständlich neue Fehlerberichte im Eventlog registriert.

Leon Gawinski

System Engineer Softwarebereich Microsoft

Empfohlene Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"