Das Windows Event-Log

Gerade fällt mir auf, dass ich noch keinen Link zu meinem brillianten adm.revlog.vbs Skript gepostet habe.

Ich wollte immer was schreiben zum Windows Event-Log alias Ereignisanzeige, bin aber nie dazu gekommen. Die arme Ereignisanzeige ist vermutlich die am meisten übersehene Funktion von Windows.

Mit eventvwr.exe ruft man das Anzeigeprogramm auf. Standardmäßig werden alte Einträge gelöscht wenn sich mehr als 2 MB oder so angesammelt haben.

Die maximale Größe ist ca. 200 MB. Achtung: Da das Event-Log Memory-Mapped ist, verbraucht ein 200 MB Log tatsächlich 200 MB RAM.

Das Skript kopiert das Event-Log in eine EVT-Datei (lässt sich mit der Ereignisanzeige öffnen) und löscht es dann. Es ist dazu gedacht mit dem Task-Planer aufgerufen zu werden. Bei einem Desktop reicht einmal am Tag, bei einem Server ungefähr alle 10 Minuten. So bekommt man ein Archiv und hält den Speicherbedarf gering.

Besonders wenn man die detailierte Überwachung eingeschaltet hat, kann das Sicherheits-Log sehr groß werden. Wenn man irgendeinen Systemfehler hat (wie die berüchtigten Perflib/Perfmon-Fehler) kann auch das Anwendungsprotokoll schnell volllaufen. Dadurch werden unter Umständen wichtige Informationen gelöscht.

P.S.: Die EVT-Dateien lassen sich sehr gut komprimieren.


Links

• adm.revlog.vbs. Joergs Wiki
• The Unofficial Log Parser Support Site. Log Parser ist ein sehr nützliches Programm von Microsoft.