Ereignisprotokolle ständig defekt

[druckerheini 12]

Hallo!

 

Auf einigen Windows 2003 R2-Servern, die unter VMware ESX laufen, gehen ständig die System- und Anwendungs-Ereignisprotokolle kaputt. Sie lassen sich auf den betroffenen Servern nicht mehr anzeigen, wohl aber remote. Nach dem Löschen funktionieren sie für kurze Zeit wieder, doch bald tritt dasselbe Problem wieder auf.

 

Das Problem ist ziemlich exakt hier beschrieben:

 

Fehlermeldung "Die Ereignisprotokolldatei ist beschädigt" wird auf einem Computer angezeigt, auf dem Windows Server 2003 SP1, eine x64-Version von Windows Server 2003 oder Windows XP Professional x64 Edition ausgeführt wird

 

Nur: Wir haben schon SP2 drauf, und die Datei eventlog.dll trägt die Versionsnummer 5.2.3790.3959, ist also wesentlich höher als die in dem Artikel beschriebene DLL aus dem Hotfix; zudem wird dort behauptet, daß das Problem mit SP2 behoben sei, was bei uns definitiv nicht der Fall ist.

 

Kennt jemand das Phänomen, insbesondere im Zusammenhang mit VMware? Irgendwelche Ideen?

[blub 115]

evtl. ist das Eventlog zu gross? Ich mach meine Logs aus diesem Grund nicht mehr grösser als 128MB, bei 512MB waren die Logs oft defekt

 

cu

blub

[druckerheini 12]

evtl. ist das Eventlog zu gross? Ich mach meine Logs aus diesem Grund nicht mehr grösser als 128MB, bei 512MB waren die Logs oft defekt

 

cu

blub

Nein, die sind nur 16 MB groß. Das Problem tritt zudem auch schon sehr früh auf (= wenige Stunden nach Löschung), zu diesem Zeitpunkt sollte es noch nicht so sehr gefüllt sein.

 

Mittlerweile verglich ich den Server mit einem anderen, der dieses Problem nicht zeigt. Dort ist nur Windows 2003 SP1 installiert und vor allem die eventlog.dll ist deutlich älter. Eigentlich sollte es daher genau umgekehrt sein: Eher sollte dieser Server das Problem aufweisen und nicht derjenige mit SP2...

[blub 115]

Hast du entsprechend den Angaben im Artikel kontrolliert, ob die betroffenen Maschinen denselben Netzwerkadaptertreiber haben? Wenn möglich, diesen mal updaten.

 

cu

blub

[druckerheini 12]

Hast du entsprechend den Angaben im Artikel kontrolliert, ob die betroffenen Maschinen denselben Netzwerkadaptertreiber haben? Wenn möglich, diesen mal updaten.

Es handelt sich in allen Fällen um den "VMware PCI Ethernet Adapter", Treiberversion 2.0.0.8; die Einstellungen sind absolut identisch (= auf Default belassen). Duplex und Speed lassen sich dort nicht einstellen. Der Treiber kam mit den VMware Tools.

[blub 115]

musst du die defekten eventlogs wirklich löschen, oder genügt ein Restart des Eventlog-Services?

[druckerheini 12]

musst du die defekten eventlogs wirklich löschen, oder genügt ein Restart des Eventlog-Services?

Nein, man muß den Dienst stoppen (was nur über einen Reboot geht), die Eventlogs löschen, und dann den Dienst wieder starten. Danach funktioniert alles für einige Zeit, bis irgendwann plötzlich das Problem wieder auftritt.

[blub 115]

du schreibst, dass die logs remote noch lesen kannst. Werden denn nach dem Auftreten des Problems weiterhin Einträge hineingeschrieben und es funktioniert nur der lokal lesende Zugriff nicht?

 

Falls dem nicht so ist, kannst du anhand der letzten geschriebenen Einträge evtl. erkennen, welche Events/ Anwendungen der Auslöser sein könnten.

 

Falls dem doch so ist, könnte man mit einem WMI-Abfrage-Skript den Zeitpunkt des Auftretens bestimmen und dann nach verdächtigen Events zu dem Zeitpunkt suchen.

 

Weiter kann man von den betroffenen Servern soviele Anwendungen und Dienste wie möglcih runterwerfen und testen, ob es aufhört. Falls ja, dann Step by Step die Dienste wieder aktivieren.

 

cu

blub

[druckerheini 12]

Das Problem hat sich von alleine erledigt - nach dem Update der VMware-Server auf Version 3.5 samt zugehörigem Update der VMware-Tools auf dem virtuellen Server war es verschwunden. Mit den neuen VMware-Tools kam auch eine neue Version 2.0.1.8 des virtuellen Ethernetadapters, eventuell hat's der gebracht.