Das Windows-Eventlog (Ereignisprotokoll) ist eine der wichtigsten Informationsquellen zum Gesundheitszustand eines Systems. Leider gibt es immer wieder Situationen, in denen eine ungünstige Konfiguration das Eventlog einschränkt:
- Administratoren löschen das Protokoll
- Das automatische Überschreiben ist abgeschaltet
- Die Größe ist zu stark beschränkt
Gerade der letzte Fall ist immer wieder zu beobachten, wenn es Probleme auf einem System gibt. Häufig schreibt Windows dann sehr viele Einträge in das Protokoll, sodass es sich schnell füllt. Erreicht das Protokoll dann die maximale Größe, so löscht Windows vom Ende her “alte” Ereignisse, um die neuen schreiben zu können. Schnell führt das dann dazu, dass die Informationen nur noch wenige Tage oder wenige Stunden in die Vergangenheit reichen, sodass man keine Informationen mehr findet, wann und wie das Problem begonnen hat.
Wie groß sollte man denn dann die Protokolle einstellen?
Die Antwort auf diese Frage hängt leider vom eingesetzten System ab. Vor allem ist zu unterscheiden, ob man eine 32-Bit- oder eine 64-Bit-Plattform einsetzt:
- 32-Bit: Auf “älteren” Systemen (XP und Windows Server 2003) steht dem Betriebssystem für alle Protokolle zusammen nur ein Platz von etwa 300 MB zur Verfügung. Die Summe aller Protokolle sollte diesen Wert also nicht übersteigen.
Im Fall von Vista und Server 2008 gibt es diese Beschränkung auch bei 32-Bit-Systemen nicht mehr. - 64-Bit: Alle 64-Bit-Systeme haben kein Limit, das die Nutzung des Eventlogs ernsthaft einschränkt. Microsoft empfiehlt, dass einzelne Logs nicht größer als 4 GB werden und die Größe aller Logs zusammen nicht über 16 GB liegen sollte.
Standardmäßig sind die Logs bei aktuellen Systemen auf maximal 20 MB gesetzt, doch diese Größe darf und sollte man bei wichtigen Systemen durchaus hochsetzen.
Wie hoch man den Wert setzen sollte, lässt sich pauschal nicht sagen. Es hängt davon ab, wie viele Events man aufbewahren möchte; gleichzeitig sollte man natürlich auch den verfügbaren Speicherplatz im Auge behalten. Eine Faustformel: Ein Event-Eintrag belegt durchschnittlich 500 Bytes. Möchte man in der Lage sein, über einen Zeitraum von vier Wochen pro Tag 5000 Ereignisse aufzubewahren, so muss das Log mindestens 500 × 5000 × 28 Bytes groß sein, also 70000000 Bytes (oder einfacher: 70 MB). Dabei muss der Wert, den man einträgt, ein Vielfaches von 64 KB sein – hier wäre der einzutragende Wert also 70016 KB.
Dabei sollte man aber berücksichtigen, dass es durchaus auch größere Einträge geben kann und dass ein modernes Windows-System eine maximale Lograte von 5000 Einträgen pro Sekunde erreichen kann. Ein Standardwert für “alles” lässt sich also nicht festlegen.
Mehr dazu:
[Recommended settings for event log sizes in Windows Server 2003, Windows XP, Windows Server 2008 and Windows Vista]
http://support.microsoft.com/kb/957662/en-us
[Event Log]
http://technet.microsoft.com/de-de/library/dd349798(WS.10).aspx
[Event log size limitation removed from R2?]
http://social.technet.microsoft.com/Forums/en/windowsserver2008r2general/thread/772bf5dd-4d8d-4171-9fbb-f2a6288c1670
http://faq-o-matic.net/?p=3501