Windows protokolliert jeden Schritt – auch wer wann welche Software installiert oder deinstalliert hat. Diese Information kann goldwert sein, wenn ihr in einem Mehrbenutzer-Haushalt oder im Büro herausfinden wollt, wer heimlich Programme aufgespielt oder entfernt hat.
Die Windows-Ereignisanzeige ist euer digitaler Detektiv. Sie zeichnet präzise auf, welcher Benutzer zu welchem Zeitpunkt Software-Änderungen vorgenommen hat. Das funktioniert sowohl bei klassischen Desktop-Programmen als auch bei modernen Apps aus dem Microsoft Store.
Schritt-für-Schritt zur Ereignisanzeige
Öffnet zunächst im Explorer mit der rechten Maustaste den Eintrag Dieser PC und wählt dort Verwalten aus. Windows fragt nach Administrator-Rechten – die müsst ihr bestätigen. Alternativ könnt ihr auch Windows-Taste + X drücken und direkt Computerverwaltung auswählen.
Navigiert nun zu System → Ereignisanzeige → Windows-Protokolle und klickt auf Anwendung. Windows lädt jetzt alle Ereignisse – das kann bei älteren Systemen oder umfangreichen Protokollen durchaus eine Minute dauern.
Der entscheidende Filter: MsiInstaller
Der Trick liegt im richtigen Filter. Klickt rechts auf Aktuelles Protokoll filtern und gebt bei Ereignisquellen den Begriff MsiInstaller ein. Dieser Windows Installer Service protokolliert alle Software-Installationen und -Deinstallationen. Nach dem Bestätigen mit OK seht ihr eine gefilterte Liste aller relevanten Ereignisse.
Jeder Eintrag zeigt euch das Datum, die Uhrzeit, den Benutzer und Details zur installierten oder entfernten Software. Besonders nützlich: Ihr könnt die Ereignisse chronologisch sortieren und so nachvollziehen, wann genau was passiert ist.
PowerShell als Alternative für Profis
Wer es scriptbasiert mag, kann auch die PowerShell nutzen. Der Befehl Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='MsiInstaller'} liefert dieselben Informationen direkt auf der Kommandozeile. Das ist besonders praktisch für regelmäßige Überprüfungen oder wenn ihr die Daten weiterverarbeiten wollt.
Was die Ereignis-IDs bedeuten
Die verschiedenen Ereignis-IDs haben spezifische Bedeutungen: ID 1033 steht für erfolgreiche Installationen, ID 1034 für erfolgreiche Deinstallationen. Fehlerhafte Installationen werden mit anderen IDs gekennzeichnet. Diese Details helfen euch, zwischen normalen und problematischen Software-Änderungen zu unterscheiden.
Microsoft Store Apps im Blick
Bei Apps aus dem Microsoft Store müsst ihr zusätzlich das Protokoll Microsoft-Windows-AppXDeployment/Operational unter Anwendungs- und Dienstprotokolle → Microsoft → Windows → AppXDeployment checken. Hier werden alle Store-App-Installationen dokumentiert.
Grenzen der Methode
Die Ereignisanzeige protokolliert nur Aktionen von angemeldeten Benutzern. Portable Software, die ohne Installation läuft, taucht hier nicht auf. Auch sehr alte Log-Einträge werden automatisch überschrieben, wenn die Protokolldatei ihre maximale Größe erreicht.
Profi-Tipp für Admins
In Unternehmensnetzwerken könnt ihr die Ereignisanzeige auch remote nutzen. Klickt mit der rechten Maustaste auf Ereignisanzeige und wählt Verbindung mit anderem Computer herstellen. So überwacht ihr Software-Installationen auf allen Netzwerk-PCs zentral.
Datenschutz beachten
Bedenkt: Diese Überwachung ist in privaten Haushalten nur bei eigenen Geräten oder mit Einverständnis aller Nutzer erlaubt. Im beruflichen Umfeld müssen entsprechende Betriebsvereinbarungen existieren. Die Ereignisanzeige ist ein mächtiges Tool – nutzt es verantwortungsvoll.
Zuletzt aktualisiert am 09.04.2026
