Eventlogs mit GPOs anpassen: maximale Größe, Speicherort, Archivierung

    Windows EventlogDas Ereignisprotokoll von Windows speichert zahlreiche Informa­tionen über den Status des Systems und zu auftretenden Fehlern. Die von Microsoft vorgegebene Konfiguration für Logfiles kann jedoch zum vorzeitigen Verlust von Einträgen führen, die man etwa für das Troubleshooting benötigt. Mit Hilfe von GPOs lassen sich die Einstellungen anpassen.

    Zu den Vorgabewerten, die gerade auf einem Server sehr knapp bemessen sind, zählt die maximale Größe pro Eventlog. Sie liegt bei nur 20 MB und kann gerade dann schnell erreicht werden, wenn Windows aufgrund von Problemen viele Einträge in die Logfiles schreibt.

    Analysierbaren Zeitraum verlängern

    In diesem Fall beginnt der Ereignisprotokolldienst per Voreinstellung damit, die ältesten Ereignisse mit den neuesten zu überschreiben. Auf diese Weise können bereits Events für die Fehlersuche verloren gehen, die nur wenige Tage zuvor aufgezeichnet wurden.

    Ausgewachsene Tools für die Log-Analyse umgehen solche Engpässe in der Regel dadurch, dass die Ereignisse aus verschiedenen Quellen zusammenführen und in ihrer eigenen Datenbank speichern. Nutzt man dagegen Bordmittel wie die Ereignisanzeige oder PowerShell, um die Logfiles zu untersuchen, dann sollte man ihre maximale Größe sowie Regeln für die Aufbewahrung der historischen Daten konfigurieren.

    Empfohlene Größen für Eventlogs

    Bei der Dimensionierung der Logfiles gibt es gerade unter den neueren 64-Bit-Servern praktisch keine physikalischen Beschränkungen mehr, und auch die 32-Bit-Varianten der Workstation-Version unterstützen seit Vista sehr großzügig bemessene Werte. Dennoch sollten die Einstellungen mit Bedacht gewählt werden, weil zu große Protokolldateien eine Auswertung stark verlangsamen und im schlimmsten Fall den ganzen Speicherplatz des Systemlaufwerks belegen.

    Microsoft empfiehlt, die maximale Größe für ein Ereignisprotokoll ab Vista und Server 2008 nicht höher als 4GB zu setzen. Der Wert für alle Logfiles zusammen sollte demnach 16 GB nicht überschreiten.

    Interaktive Konfiguration

    Möchte man die höchst zulässige Größe für Logfiles auf einem einzelnen System anpassen, dann tut man dies, indem man in der Ereignisanzeige das Kontextmenü eines Protokolls öffnet und dort den Dialog Eigenschaften aufruft. Dort kann man die Obergrenze in Schritten von 64KB erhöhen bzw. absenken.

    In den Eigenschaften der einzelnen Protokolle kann man die Einstellungen für Größe, Pfad und Archivierung ändern.

    Zusätzlich legt man dort fest, wie sich das System bei Erreichen des maximalen Werts verhalten soll. Neben der Standardeinstellung, die das Überschreiben der ältesten Einträge vorsieht, steht noch die Archivierung der bestehenden Logfiles und das Anlegen neuer Protokolle zur Auswahl. Schließlich kann man auf jegliche Maßnahmen des Systems verzichten und sich selbst um die Logdateien kümmern, wenn sie voll sind.

    Einstellungen zentral über GPOs ändern

    Wenn man die Einstellungen für die Logfiles auf einer größeren Zahl von PCs bzw. Servern konfigurieren will, dann lässt sich dies über Gruppenrichtlinien effizienter erledigen. Die betreffenden Optionen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Ereignisprotokolldienst.

    Allerdings wird man hier feststellen, dass sich nur 4 der von Windows vorgegebenen Logs anpassen lassen: Anwendung, Sicherheit, System und Setup. Letzteres ist per Voreinstellung nicht aktiviert und enthält nicht nur Aufzeichnungen aus der Installation des Betriebssystems, sondern etwa auch die Protokolle von sysprep oder zum Anschließen und Entfernen von Plug-and-Play-Geräten.

    Die Gruppenrichtlinien lassen Logfiles bis max. 2TB zu, sinnvoll ist dieser Wert in der Regel aber nicht.

    Mit Ausnahme der Einstellung Protokollierung aktivieren, die Setup vorbehalten ist, bieten alle 4 Protokolle die gleichen Optionen. Dazu gehört zum einen die Möglichkeit, die maximale Größe der Logdatei festzulegen, was wie auf der GUI in Schritten zu 64KB erfolgt. Zum anderen kann man hier ebenfalls bestimmen, wie das System bei Erreichen dieser Obergrenze zu verfahren hat. Allerdings folgen die administrativen Vorlagen hier einer anderen Logik als der Event Viewer.

    Logdateien archivieren

    Aktiviert man die Einstellung Verhalten des Ereignisprotokolls steuern, wenn die Protokolldatei ihre Maximalgröße erreicht, dann werden die ältesten Einträge nicht mehr durch die neuesten überschreiben. Vielmehr kommen keine neuen Events mehr hinzu, wenn die Logfiles voll sind, und gehen somit verloren.

    "Verhalten des Ereignisprotokolls steuern" heißt eigentlich nur, dass alle alten Einträge beibehalten werden.

    Möchte man diesen Zustand vermeiden, dann muss man ergänzend die Einstellung Volles Protokoll automatisch sichern konfigurieren, so dass die betroffenen Logs archiviert und neu angelegt werden.

    Eine weitere Einstellung erlaubt es, die Logfiles auf ein anderes Laufwerk auszulagern und somit die Gefahr zu bannen, dass die Systempartition vollläuft. Das ist vor allem dann empfehlenswert, wenn man alte Eventlogs archiviert, weil diese im gleichen Verzeichnis abgelegt werden wie die aktiven Logdateien.

    Keine Kommentare