» Home » Admin und Betrieb » Überwachung » Eventlog

Überwachung von Exchange - Eventlog

Ein wichtiger Aspekt bei der Überwachung von Exchange ist das Eventlog des Systems. Das Eventlog von Windows ist die zentrale Stelle, in der viele Programme eventuelle Fehler oder Warnungen hinterlassen. Auch Exchange meldet hier fast alle Fehler aber auch Informationen.

Das Eventlog des Servers

Das Windows Eventlog ist der erste Ansatzpunkt um Probleme einzugrenzen. aber zugleich auch eine Möglichkeit die Funktion des Servers zu überprüfen.

Das Eventlog kann mit dem Eventviewer angezeigt werden. Leider hat jeder Server ein eigenes Eventlog, so dass Sie sich überlegen sollten, mit einer Software diese Protokolle zentral zu sammeln und zu überwachen. Zumal solche eine Lösung auch alle anderen Betriebsparameter mit überwacht. Dies wären z.B. freien Speicherplatz (10% Frei Meldung des Serverdienstes) als auch Meldungen vom DNS-Server, NETLOGON und vielen anderen Systemen.

Eventlog Größe einstellen

Allerdings sind die Eventlogs von Windows nur 512 kByte groß. Wenn Sie aber das Diagnoseprotokoll aktivieren, dann kann es schon schnell passieren, dass die Meldungen überschrieben werden. Daher ist es sinnvoll, diesen Speicher zu vergrößern. Am besten geht dies unter Windows 2000 mit einer Gruppenrichtlinie für alle Server. Natürlich kann dies auch manuell eingestellt werden. Ein wert von 4 MByte je Eventlog hat sich oft als ausreichend bewährt. Aber bei den heutigen Festplatten sind auch größere Eventlogs kein Problem mehr.

Eventlog zentralisieren, durchsuchen und überwachen

Speziell beim Einsatz mehrerer Server oder wenn eine bestimmte Verfügbarkeit erwartet wird, sollten Sie sich Wege überlegen, die Meldungen aller Server zentral zu erfassen um entsprechende Abhängigkeiten zu erkennen. Dies machen einige kommerzielle Überwachungsprogramme oder Tools wie NTSyslog. Alternativ können sie mit Skripten (siehe Skript Eventlog überwachen) oder Tools wie "EventCombMT" aus den ALTOOLS von Microsoft alle Server nach bestimmten Meldungen durchsuchen.

Auch von Microsoft selbst gibt es seit Windows 2003 eine ganze Sammlung von Programmen zum Thema Eventlog:

• EventCreate
  erzeugt einen Eintrag im  Eventlog mit beliebiger Beschreibung, Quelle und ID
• EventTriggers
  Erlaubt das Einstellen von Programme, die beim Auftreten eines bestimmten Events vom Betriebssystem gestartet werden (WMI). Allerdings sollten Sie zur Überwachung von 10 Events nicht unbedingt auch 10 Event Trigger installieren.
• EventQuery.VBS
  Sehr leistungsfähiges VBScript um das Eventlog automatisch auf bestimmte Events zu durchsuchen
• Eventvwr
  Das ist der klassische EventViewer, wie er schon seit NT 3.1 verfügbar ist.

Diagnoseprotokoll und Eventlog

Neben den Standardeinstellungen können Sie auf einem Exchange Server ein Diagnoseprotokoll hoch setzen. Damit protokolliert Exchange 2000 sehr viel mehr Informationen im Eventlog. Dies hilft bei der Fehlersuche aber viel mehr auch bei der Kontrolle und Überwachung der laufenden Funktion.

• Diagnoseprotokoll
• Diagnoseprotokoll ADC
• Diagnoseprotokoll Exchange 5.x
• Diagnoseprotokoll Exchange 2000/2003
• RUSMon

Eventlog nutzen

Wenn Sie dann eine Überwachung des Eventlog eingerichtet haben, dann sollten Sie wissen, das Sie nicht allein den Anwendungen vertrauen müssen, die ihnen einen Event erzeugen. Ihre eigenen Batchjobs und VBScripts können sich problemlos im Eventlog hinterlassen.

' Eventlog aus VBScript schreiben
set objshell = WScript.CreateObject("WScript.Shell")
objshell.LogEvent 0, "Dies ist eine Eventlog Meldung"

• Parameter 1 = Typ der Meldung und zugleich Ereigniskennung
  0 = Erfolg
  1 = Fehler
  2 = Warnung
  4 = Information
  8 = Audit_Success
  16 = Audit_Failure"
• Parameter 2 = Meldung
  Diese Meldung wird in der Beschreibung angezeigt
• Parameter 3 = Ziel
  Hier kann ein entfernter Computer angegeben werden, z.B.: "\\Servername"

Das Ergebnis im Eventviewer sieht dann so aus:

Es versteht sich von selbst, dass mit der gleichen Technik auch eine ASP-Webseite Events generieren kann. Leider lässt dieses einfache WSH-Objekt es nicht zu, z.B.: eine Kategorie oder eine alternative Quelle anzugeben.

Achtung:
Eine Meldung im Eventlog kann maximal  32kbyte groß sein. Wenn Sie also einen sehr großen Text in die Beschreibung stellen wollen, dann müssen Sie diesen auf mehrere Events aufteilen.

Aber auch aus einfachen BATCH-Dateien lassen sich Meldungen in das Eventlog schreiben. Dazu gibt es von Microsoft ebenfalls ein Programm LogEvent, welches schon

LOGEVENT [-m \\MACHINENAME] [-s SIWEF] [-c CategoryNumber] "Event Text" Severity is one of (S)uccess, (I)nformation, (W)arning, (E)rror or (F)ailure.

Wenn Sie jedoch mit Visual Basic oder einer anderen Anwendung arbeiten, dann können Sie über "app.logEvent" einfach eine Meldung schreiben. Allerdings sollten Sie auch folgenden Artikel kennen.

• 161306 INFO: App.LogEvent Only Logs in Compiled Applications
• 184747 INFO: Event Logging in Visual Basic
• 301309 How To Log Events from Active Server Pages
• 131008 How to Use Logevent.exe to Log Events From a Batch File

Beispiele zur Überwachung

Hier einige wenige Beispiele zur Erläuterung, dass der Aufwand sinnvoll und gerechtfertigt ist:

• Datensicherung
  Immer wenn sie Online die Datenbank sichern, wird dies im Eventlog mit Start und Ende protokolliert. Damit ist das Eventlog eine vom Backupprodukt unabhängige Instanz, um die Funktion zu kontrollieren. Übrigens kann man so auch den -1018 Fehler frühzeitig entdecken.
• Datenbankkonsistenz
  Exchange defragmentiert seine Datenbank. Wenn diese Defragmentierung fehlschlägt, fehlt der entsprechende positive Eintrag im Eventlog. Dies ist ein erstes Anzeichen, dass der Server in Probleme laufen könnte.
• Connector-Status
  Wird das Diagnoseprotokoll geeignet konfiguriert, so können auch Statusänderungen der Connectoren gemeldet werden. Dies ist sonst sehr schwer oder nur mit WINROUTE manuell möglich.
• PublicFolder Rechte
  Sie migrieren von Exchange 5.5 nach 2000 und stellen fest, dass nur ein Teil der öffentlichen Ordner sichtbar ist ?. Dann suchen Sie einfach nach den Events 9551 und 9552. Diese weisen auf Ordner hin, bei denen die Rechte nicht konvertiert werden können. Siehe auch 9551-Melder)
• Datenbanküberwachung
  Aber auch wenn Sie Mailboxgrenzen bei Benutzern eingestellt haben, ist es von Vorteil dies rechtzeitig zu wissen, ehe der Benutzer sich beschwert. (Q235895 XADM: How to Monitor Mailbox Storage Limits in Event Viewer).
• ADC Überwachung
  Gerade bei der Migration und dem Parallelbetrieb von Exchange 5.5 und Exchange 2000 ist die Funktion des Active Directory Connectors sehr wichtig. Das Eventlog ist ein guter Weg hier Fehler frühzeitig zu erkennen.
• Serverüberwachung
  Natürlich kann auch der komplette Server überwacht werden. Viele Netzwerkkarten melden einen verlorenen Link im Eventlog wie auch korrekt installierte RAID-Controller. So wird der Defekt einer Festplatte, aber auch Speicherfehler (ECC), redundante Netzteile etc. zusätzlich erfasst.

Sie sehen, dass es viele Vorteile bringt, das Eventlog der Server zu überwachen und entsprechende Regeln für Meldungen, Alarme und Möglichkeiten der Auswertung zu schaffen.

Windows 2008 Konsolidierung

Windows 2008 enthält eine eingebaute Funktion, um Eventlogs von anderen Systemen über WinRM zu konsolidieren.

• Auditing/Eventlog zentralisieren
  http://go.microsoft.com/fwlink/?LinkId=140969
• Account Management
  http://technet.microsoft.com/de-de/library/dd941622(WS.10).aspx
• Windows Eventlog
  http://blogs.technet.com/eventlog/default.aspx
• Configure Computers to Forward and Collect Events
  http://technet.microsoft.com/en-us/library/cc748890.aspx
  Diese Seite beschreibt sehr gut wie die Abonnements eingerichtet werden

Alternativ können Sie natürlich auch über Syslog solche Meldungen zentralisieren.

Windows 2008 R2 Eventlog

Ganz nett die die Funktion von Windows 2008, mit der Sie direkt aus dem Eventlog Viewer einen Alarm einstellen können.

Der dann gestartet Wizard fragt sie ein paar Daten ab. Zuerst müssen Sie Event einen Namen geben:

Der Eventvwr füllt den entsprechenden Event natürlich schon anhand der Auswahl aus.

  

Dann haben Sie die Wahl, ob sie ein beliebiges Programm starten möchten oder eine Mail versendet werden soll

 

Am Ende sehen Sie eine Zusammenfassung

Im Hintergrund wird einfach ein Eintrag im Taskplaner angelegt. Damit ist es eine einfache und schnelle Möglichkeit auf einen bestimmten Event zu reagieren, aber kein Ersatz für ein echtes Event Management

Weitere Links

• Events and Errors Message Center
  http://go.microsoft.com/fwlink/?LinkId=55884
  http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
• MOM2005
  Microsoft Operation Manager 2005
• MSXFAQ - Produkte: NTSyslog
• MSXFAQ - Skript Eventlog überwachen
• 9551-Melder
• Eventtriggers
  http://technet.microsoft.com/en-us/library/bb490901.aspx
  Windows Bordmittel um Programm abhängig von Events zu starten
• Windows Security Log Encyclopedia
  http://www.ultimatewindowssecurity.com/encyclopedia.html
  Übersicht, welche Security Eventmeldungen welche Bedeutung haben
• 301309 How To Log Events from Active Server Pages
• 154576 How to write to the Windows NT event log from Visual Basic
• 257541 How to write to the Windows NT/Windows 2000 system log by using the Windows Script Host
• 896692 The abbreviated file size is incorrect when you use Event Viewer to view the properties of an event log in Microsoft Windows 2000, Microsoft Windows XP, and Microsoft Windows Server 2003
• Monitoring Eventlog API http://msdn.Microsoft.com/library/psdk/winbase/eventlog_2tbb.htm
• Microsoft bietet einige Tools unter dem Namen "ALTOOLS" (ca800kb) an. darin ist auch ein Eventlog Sammler, welcher es erlaubt, viele Eventlogs mehrere Server auf die gleichen Eventeinträge  http://www.Microsoft.com/downloads/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e&DisplayLang=en
• http://www.Microsoft.com/technet/support/ee/search.aspx?LCID=1033&DisplayName=Exchange%20Server%202003&ProdName=Microsoft%20Exchange&MajorMinor=6.5
  Eingeben von EventQuelle und EventID und schon bekommt man mehr Infos
• EventCombMT
  Sammelt bestimmte Eventlogmeldungen vieler Server ein
• Eventlog per Mail senden
  http://cwashington.netreach.net/depo/view.asp?Index=1019&ScriptType=vbscript
• Exchange Insider: System Event Viewer Tips
  http://www.Microsoft.com/technet/prodtechnol/exchange/2003/insider/eventviewer.mspx

Programme zur Überwachung des EventLogs

Diese Liste stellt nur eine willkürliche Auswahl und keine Empfehlung dar.

• MOM2005
• WebSpy
  www.webspy.com
• LogMeister
  http://www.logmeister.com/index.shtml
• ELM von TNT Software
  http://www.tntsoftware.com/
• EventTracker
  http://www.eventlogmanager.com/
• Intersect Alliance
  http://www.intersectalliance.com/
  Log Management Server mit kostenfreien Agenten, die ihre Meldungen per SYSLOG an den kostenpflichtigen zentralen Server senden.
• Eventlog Management Suite
  www.doriansoft.com
• MOM2005 Management Pack für Security Eventlog
  http://www.securevantage.com/
• EventTriiger
  http://www.isdecisions.com/en/software/eventrigger/
• Event Sentry
  http://www.eventsentry.com/
  http://www.eventsentry.com/features.php?FEATURE=EVENTLOG
• Quest Intrust
  http://www.quest.com/intrust/
• GFI LanSelm
  http://www.gfi.com/lanselm/
• Sentry II
  http://www.engagent.com/Products/productsinfo.asp?product=EventLogSentry
• EventReporter und MonitorWare Agent
  http://www.eventreporter.com
  http://www.mwagent.com/en
• How to send mail automatically for every five minutes using C#?
  http://www.dotnetfunda.com/articles/article931-how-to-send-mail-automatically-for-every-five-minutes-using-csharp-.aspx
• How do I... Send e-mail alerts when errors are written to the event log?
  http://blogs.techrepublic.com.com/howdoi/?p=127
• RTEventreader
  http://www.codeproject.com/KB/cs/rteventreader.aspx
  Freeware um neue Eventlogeinträge als Tooltip auf dem Desktop anzuzeigen

Keywords:

Eventlog Überwachung

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
  • Active Directory
  • 100 Admin Fehler
  • Ex5.5 auf Win2000
  • Service Pack
  • Backup und Restore
  • Benutzermanagement
  • LDAP-Felder
  • DS/IS Konsistenzanpassung
  • Datenbank Recover
  • Recovery Storage Group
  • ESM Installieren
  • Benutzermanagement
  • Nachrichtentracking
  • Überwachung
    • Eventlog
    • Syslog
    • Perfmon
    • Windows SNMP
  • Systemaufsicht
  • Badmail
  • Diagnoseprotokoll
  • Verschieben, Umbenennen, Umbauen
  • Move Server Wizard
  • Native AG in Mixed Org
  • Limit 2000/2003
  • Limit 2007/2010
  • Adressbücher und GAL
  • Berechtigungen
  • Mailboxrechte
  • Senden als
  • Delegate Admin
  • ManagedBy
  • Datenbankgrundlagen
  • Defrag
  • Neuer Benutzer
  • Benutzer löschen
  • Offline Adressbuch Generierung
  • SystemAufsicht (SA)
  • Dumpster
  • Journal
  • Abfragebasierte Verteiler
  • Dokumentation
  • Leistungstest
  • Mailbox Manager
  • Event 9646
  • Disabled Account
  • Duplicate MessageID
  • Ungelesen gelöscht
  • Forensik
  • PowerShell4Admin
  • Authenticode
  • UserPrincipalName
  • WinRM
  • ADPhoto
  • Exchangegruppen
  • Wunschzettel
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages