Überwachung von Exchange - Eventlog
Was für UNIX und Netzwerkgeräte der "SYSLOG" ist, ist bei Windowsdas Eventlog. Der zentrale Ort, wo Programme und Dienste entsprechende Meldungen hinterlassen können. Auch Exchange nutzt diese Funktion.
Das Eventlog des Servers
Das Windows Eventlog ist der erste Ansatzpunkt um Probleme einzugrenzen. aber zugleich auch eine Möglichkeit die Funktion des Servers zu überprüfen.
Das Eventlog kann mit dem Eventviewer angezeigt werden. Leider hat jeder Server ein eigenes Eventlog, so dass Sie sich überlegen sollten, mit einer Software diese Protokolle zentral zu sammeln und zu überwachen. Zumal solche eine Lösung auch alle anderen Betriebsparameter mit überwacht. Dies wären z.B. freien Speicherplatz (10% Frei Meldung des Serverdienstes) als auch Meldungen vom DNS-Server, NETLOGON und vielen anderen Systemen.
Eventlog Größe einstellen
Allerdings sind die Eventlogs von Windows nur 512 kByte groß. Wenn Sie aber das Diagnoseprotokoll aktivieren, dann kann es schon schnell passieren, dass die Meldungen überschrieben werden. Daher ist es sinnvoll, diesen Speicher zu vergrößern. Am besten geht dies unter Windows 2000 mit einer Gruppenrichtlinie für alle Server. Natürlich kann dies auch manuell eingestellt werden. Ein wert von 4 Megabyte je Eventlog hat sich oft als ausreichend bewährt. Aber bei den heutigen Festplatten sind auch größere Eventlogs kein Problem mehr.
Eventlog zentralisieren, durchsuchen und überwachen
Speziell beim Einsatz mehrerer Server oder wenn eine bestimmte Verfügbarkeit erwartet wird, sollten Sie sich Wege überlegen, die Meldungen aller Server zentral zu erfassen um entsprechende Abhängigkeiten zu erkennen. Dies machen einige kommerzielle Überwachungsprogramme oder Tools wie NTSyslog. Alternativ können sie mit Skripten (siehe Skript Eventlog überwachen) oder Tools wie "EventCombMT" aus den ALTOOLS von Microsoft alle Server nach bestimmten Meldungen durchsuchen.
Auch von Microsoft selbst gibt es seit Windows 2003 eine ganze Sammlung von Programmen zum Thema Eventlog:
- EventCreate
erzeugt einen Eintrag im Eventlog mit beliebiger Beschreibung, Quelle und ID - EventTriggers
Erlaubt das Einstellen von Programme, die beim Auftreten eines bestimmten Events vom Betriebssystem gestartet werden (WMI). Allerdings sollten Sie zur Überwachung von 10 Events nicht unbedingt auch 10 Event Trigger installieren. - EventQuery.VBS
Sehr leistungsfähiges VBScript um das Eventlog automatisch auf bestimmte Events zu durchsuchen - Eventvwr
Das ist der klassische EventViewer, wie er schon seit NT 3.1 verfügbar ist.
Diagnoseprotokoll und Eventlog
Neben den Standardeinstellungen können Sie auf einem Exchange Server ein Diagnoseprotokoll hoch setzen. Damit protokolliert Exchange 2000 sehr viel mehr Informationen im Eventlog. Dies hilft bei der Fehlersuche aber viel mehr auch bei der Kontrolle und Überwachung der laufenden Funktion.
- Diagnoseprotokoll
- Diagnoseprotokoll ADC
- Diagnoseprotokoll Exchange 5.x
- Diagnoseprotokoll Exchange 2000/2003
- RUSMon
Eventlog nutzen
Wenn Sie dann eine Überwachung des Eventlog eingerichtet haben, dann sollten Sie wissen, das Sie nicht allein den Anwendungen vertrauen müssen, die ihnen einen Event erzeugen. Ihre eigenen Batchjobs und VBScripts können sich problemlos im Eventlog hinterlassen.
' Eventlog aus VBScript schreiben set objshell = WScript.CreateObject("WScript.Shell") objshell.LogEvent 0, "Dies ist eine Eventlog Meldung"
- Parameter 1 = Typ der Meldung und zugleich Ereigniskennung
0 = Erfolg
1 = Fehler
2 = Warnung
4 = Information
8 = Audit_Success
16 = Audit_Failure" - Parameter 2 = Meldung
Diese Meldung wird in der Beschreibung angezeigt - Parameter 3 = Ziel
Hier kann ein entfernter Computer angegeben werden, z.B.: "\\Servername"
Das Ergebnis im Eventviewer sieht dann so aus:
Es versteht sich von selbst, dass mit der gleichen Technik auch eine ASP-Webseite Events generieren kann. Leider lässt dieses einfache WSH-Objekt es nicht zu, z.B.: eine Kategorie oder eine alternative Quelle anzugeben.
Achtung:
Eine Meldung im Eventlog kann maximal 32kbyte groß sein. Wenn Sie also
einen sehr großen Text in die Beschreibung stellen wollen, dann müssen Sie
diesen auf mehrere Events aufteilen.
Aber auch aus einfachen BATCH-Dateien lassen sich Meldungen in das Eventlog schreiben. Dazu gibt es von Microsoft ebenfalls ein Programm LogEvent, welches schon
LOGEVENT [-m \\MACHINENAME] [-s SIWEF] [-c CategoryNumber] "Event Text" Severity is one of (S)uccess, (I)nformation, (W)arning, (E)rror or (F)ailure.
Wenn Sie jedoch mit Visual Basic oder einer anderen Anwendung arbeiten, dann können Sie über "app.logEvent" einfach eine Meldung schreiben. Allerdings sollten Sie auch folgenden Artikel können.
- 161306 INFO: App.LogEvent Only Logs in Compiled Applications
- 184747 INFO: Event Logging in Visual Basic
- 301309 How To Log Events from Active Server Pages
- 131008 How to use Logevent.exe to Log Events From a Batch File
Beispiele zur Überwachung
Hier einige wenige Beispiele zur Erläuterung, dass der Aufwand sinnvoll und gerechtfertigt ist:
- Datensicherung
Immer wenn sie Online die Datenbank sichern, wird dies im Eventlog mit Start und Ende protokolliert. Damit ist das Eventlog eine vom Backupprodukt unabhängige Instanz, um die Funktion zu kontrollieren. Übrigens kann man so auch den -1018 Fehler frühzeitig entdecken. - Datenbankkonsistenz
Exchange defragmentiert seine Datenbank. Wenn diese Defragmentierung fehlschlägt, fehlt der entsprechende positive Eintrag im Eventlog. Dies ist ein erstes Anzeichen, dass der Server in Probleme laufen könnte. - Connector-Status
Wird das Diagnoseprotokoll geeignet konfiguriert, so können auch StatusÄnderungen der Connectoren gemeldet werden. Dies ist sonst sehr schwer oder nur mit WINROUTE manuell möglich. - PublicFolder Rechte
Sie migrieren von Exchange 5.5 nach 2000 und stellen fest, dass nur ein Teil der öffentlichen Ordner sichtbar ist ?. Dann suchen Sie einfach nach den Events 9551 und 9552. Diese weisen auf Ordner hin, bei denen die Rechte nicht konvertiert werden können. Siehe auch 9551-Melder) - Datenbanküberwachung
Aber auch wenn Sie Mailboxgrenzen bei Benutzern eingestellt haben, ist es von Vorteil dies rechtzeitig zu wissen, ehe der Benutzer sich beschwert. (Q235895 XADM: How to Monitor Mailbox Storage Limits in Event Viewer). - ADC Überwachung
Gerade bei der Migration und dem Parallelbetrieb von Exchange 5.5 und Exchange 2000 ist die Funktion des Active Directory Connectors sehr wichtig. Das Eventlog ist ein guter Weg hier Fehler frühzeitig zu erkennen. - Serverüberwachung
Natürlich kann auch der komplette Server überwacht werden. Viele Netzwerkkarten melden einen verlorenen Link im Eventlog wie auch korrekt installierte RAID-Controller. So wird der Defekt einer Festplatte, aber auch Speicherfehler (ECC), redundante Netzteile etc. zusätzlich erfasst.
Sie sehen, dass es viele Vorteile bringt, das Eventlog der Server zu überwachen und entsprechende Regeln für Meldungen, Alarme und Möglichkeiten der Auswertung zu schaffen.
Windows 2008 Konsolidierung
Windows 2008 enthält eine eingebaute Funktion, um Eventlogs von anderen Systemen über WinRM zu konsolidieren.
- Auditing/Eventlog zentralisieren
http://go.microsoft.com/fwlink/?LinkId=140969 - Account Management
http://technet.microsoft.com/de-de/library/dd941622(WS.10).aspx - Windows Eventlog
http://blogs.technet.com/eventlog/default.aspx - Configure Computers to Forward and Collect Events
http://technet.microsoft.com/en-us/library/cc748890.aspx
Diese Seite beschreibt sehr gut wie die Abonnements eingerichtet werden - Windows mit Bordmitteln absichern
https://www.heise.de/select/ix/2021/12/2119609553139291802
Alternativ können Sie natürlich auch über Syslog solche Meldungen zentralisieren.
Windows 2008 R2 Eventlog
Ganz nett die die Funktion von Windows 2008, mit der Sie direkt aus dem Eventlog Viewer einen Alarm einstellen können.
Der dann gestartet Wizard fragt sie ein paar Daten ab. Zuerst müssen Sie Event einen Namen geben:
Der Eventvwr füllt den entsprechenden Event natürlich schon anhand der Auswahl aus.
Dann haben Sie die Wahl, ob sie ein beliebiges Programm starten möchten oder eine Mail versendet werden soll
Am Ende sehen Sie eine Zusammenfassung
Im Hintergrund wird einfach ein Eintrag im Taskplaner angelegt. Damit ist es eine einfache und schnelle Möglichkeit auf einen bestimmten Event zu reagieren, aber kein Ersatz für ein echtes Event-Management.
Eventlog Forwarding
Siehe Eventlog Forwarding
Weitere Links
- Events and Errors Message Center
http://go.microsoft.com/fwlink/?LinkId=55884
http://www.microsoft.com/technet/support/ee/ee_advanced.aspx -
MOM2005
Microsoft Operation Manager 2005 - MSXFAQ - Produkte: NTSyslog
- MSXFAQ - Skript Eventlog überwachen
- 9551-Melder
- Eventtriggers
http://technet.microsoft.com/en-us/library/bb490901.aspx
Windows Bordmittel um Programm abhängig von Events zu starten - Windows Security Log Encyclopedia
http://www.ultimatewindowssecurity.com/encyclopedia.html
Übersicht, welche Security Eventmeldungen welche Bedeutung haben - 301309 How To Log Events from Active Server Pages
- 154576 How to write to the Windows NT event log from Visual Basic
- 257541 How to write to the Windows NT/Windows 2000 system log by using the Windows Script Host
- 896692 The abbreviated file size is incorrect when you use Event Viewer to view the properties of an event log in Microsoft Windows 2000, Microsoft Windows XP, and Microsoft Windows Server 2003
- Monitoring Eventlog API http://msdn.Microsoft.com/library/psdk/winbase/eventlog_2tbb.htm
- Microsoft bietet einige Tools unter dem Namen "ALTOOLS" (ca800kb) an. darin ist auch ein Eventlog Sammler, welcher es erlaubt, viele Eventlogs mehrere Server auf die gleichen Eventeinträge http://www.Microsoft.com/downloads/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e&DisplayLang=en
-
http://www.Microsoft.com/technet/support/ee/search.aspx?LCID=1033&DisplayName=Exchange%20Server%202003&ProdName=Microsoft%20Exchange&MajorMinor=6.5
Eingeben von EventQuelle und EventID und schon bekommt man mehr Infos -
EventCombMT
Sammelt bestimmte Eventlogmeldungen vieler Server ein - Eventlog per Mail senden
http://cwashington.netreach.net/depo/view.asp?Index=1019&ScriptType=vbscript - Exchange Insider: System Event Viewer Tips
http://www.Microsoft.com/technet/prodtechnol/exchange/2003/insider/eventviewer.mspx
Programme zur Überwachung des EventLogs
Diese Liste stellt nur eine willkürliche Auswahl und keine Empfehlung dar.
- MOM2005
- c't Artikel: 10/2012, Seite 148 Selbstüberwachung
http://www.heise.de/ct/12/10/links/148.shtml
www.ct.de/1210148 (Download des Script) -
NTSyslog
Eventlogs an einen SYSLOG Host senden - Skript Eventlog überwachen
- EventCombMT
- Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://github.com/sans-blue-team/DeepBlueCLI - Chainsaw: Rapidly Search and Hunt through Windows Forensic Artefacts
https://github.com/WithSecureLabs/chainsaw - Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://www.youtube.com/watch?v=G8XjSO_eshc - Windows Tool um mehrere Eventlogs zu durchsuchen.
- NetWrix Eventlog
http://www.netwrix.com/event_log_archiving_consolidation_freeware.html - WebSpy
www.webspy.com - LogMeister
http://www.logmeister.com/index.shtml - ELM von TNT Software
http://www.tntsoftware.com/ - EventTracker
http://www.eventlogmanager.com/ - Intersect Alliance
http://www.intersectalliance.com/
Log Management Server mit kostenfreien Agenten, die ihre Meldungen per SYSLOG an den kostenpflichtigen zentralen Server senden. - Eventlog Management Suite
www.doriansoft.com - MOM2005 Management Pack für Security Eventlog
http://www.securevantage.com/ - EventTriiger
http://www.isdecisions.com/en/software/eventrigger/ - Event Sentry
http://www.eventsentry.com/
http://www.eventsentry.com/features.php?FEATURE=EVENTLOG - Quest Intrust
http://www.quest.com/intrust/ - GFI LanSelm
http://www.gfi.com/lanselm/ - Sentry II
http://www.engagent.com/Products/productsinfo.asp?product=EventLogSentry - EventReporter und MonitorWare Agent
http://www.eventreporter.com
http://www.mwagent.com/en - How to send mail automatically für every five minutes using C#?
http://www.dotnetfunda.com/articles/article931-how-to-send-mail-automatically-for-every-five-minutes-using-csharp-.aspx - How do I... Send e-mail alerts when errors are written to the event log?
http://blogs.techrepublic.com.com/howdoi/?p=127 - RTEventreader
http://www.codeproject.com/KB/cs/rteventreader.aspx
Freeware um neue Eventlogeinträge als Tooltip auf dem Desktop anzuzeigen