Larsson 10 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hallo Forumsgemeinde Ich schlage mich seit längerem mit einem Problem mit dem Eventlog umher. Es geht um folgendes: Wenn ein Service automatisch gestoppt wird, oder ich dies manuell durchführe, erscheint keine Meldung im Eventlog. Es handelt sich um einen WIN 2003, SP1 Server. Gibt es eine Einstellung unter Windows, wo das Raportieren im Eventlog von einzelnen, oder allen, Services ausgeschaltet werden kann? Gruss Larsson Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hi Larsson, wie ich finde eine interessante Frage, die Du da stellst... Soweit ich weiß, gibt es hierzu keine Möglichkeit. Aber vielleicht irre ich mich da auch und jemand anderes hat eine Idee. Im Normalfall geben die Dienste ja selbst den Trigger an das Eventlog bzw. sind programmatisch dazu angehalten, Einträge zu setzen oder eben nicht. Das überwacht nicht "das System". Ich denke Du kannst das auch nicht mittels normalem Auditing überwachen. Alternativ könntest Du jedoch vielleicht die Performance Counter so anpassen, daß Sie als Aktion einen Event kreieren, wenn ein überwachter Dienst beendet / neu gestartet wird. Jedoch wäre hierzu natürlich initial erst einmal ein Aufwand deinerseits / scripttechnisch notwendig. Alternativ bleiben natürlich alle Monitoring Lösungen (wie SCOM, Nagios etc.), die sozusagen als externe Instanz Statusveränderungen dokumentieren und melden können. Bin mal gespannt, ob noch andere Ideen kommen. Viele Grüße olc Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hallo Larsson Willkommen an Board. Ich schlage mich seit längerem mit einem Problem mit dem Eventlog umher. Es geht um folgendes:Wenn ein Service automatisch gestoppt wird, oder ich dies manuell durchführe, erscheint keine Meldung im Eventlog. Es handelt sich um einen WIN 2003, SP1 Server. Bist du sicher? Wenn ich meine Dienste starte oder stoppe, egal ob automatisch oder manuell, finde ich im System-Log Einträge des Service Control Manager. Beispiel: Source: Service Control Manager Event-ID: 7036 Message: The Removable Storage service entered the stopped state. Oder meinst du etwas völlig anderes? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hi, sollte ich mich so geirrt haben? Ich meine, daß das erst ab Vista / 2008 der Fall ist. Aber klar, der Service Control Manager kommt mir bekannt vor. :D Vielleicht ist der genau das Problem - ist der Service Control Manager auf dem betroffenen System gestartet bzw. wirft er Fehler? Basic Service Control Manager Operations Service Control Manager (Windows) Na ja, falls ich dermaßen daneben lag entschuldigt meinen Beitrag. Ich muß jetzt mal weg, um mich aufzuhängen. ;) Gruß olc Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 sollte ich mich so geirrt haben? Ich meine, daß das erst ab Vista / 2008 der Fall ist. Aber klar, der Service Control Manager kommt mir bekannt vor. [/Quote]JFI: selbst auf WinXP schreibt er schon die Meldungen. Na ja, falls ich dermaßen daneben lag entschuldigt meinen Beitrag.[/Quote]Dafür musst du dich doch nicht entschuldigen... Ich muß jetzt mal weg, um mich aufzuhängen. <Messer nehm, olc vom Baum abschneid> Zitieren Link zu diesem Kommentar
Larsson 10 Geschrieben 9. Januar 2009 Autor Melden Teilen Geschrieben 9. Januar 2009 Hallo Larsson Willkommen an Board. Bist du sicher? Wenn ich meine Dienste starte oder stoppe, egal ob automatisch oder manuell, finde ich im System-Log Einträge des Service Control Manager. Beispiel: Source: Service Control Manager Event-ID: 7036 Message: The Removable Storage service entered the stopped state. Oder meinst du etwas völlig anderes? Erstmal danke für eure Hilfe. Du hast mich richtig verstanden, genau darin liegt das Problem, dass der SCM solche Meldungen nicht generiert im Eventlog. Ich habe soeben festgestellt, dass der SCM zuletzt am 8.11.08 eine Meldung generiert hat. Andere Sources generieren jedoch noch Events. Der Eventlog-Service ist gestartet (C:\WINDOWS\system32\services.exe). Dies ist meines Wissens der SCM-Service?! Oder liege ich hier falsch? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hi, schau einmal, ob der "RPCSS" Dienst gestartet ist (Remoteprozeduraufruf). Unter Umständen liegt hier ein Problem. Viele Grüße olc Zitieren Link zu diesem Kommentar
Larsson 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Hi, schau einmal, ob der "RPCSS" Dienst gestartet ist (Remoteprozeduraufruf). Unter Umständen liegt hier ein Problem. Viele Grüße olc Hi olc Der RPC-Dienst ist gestartet. Das Problem scheint an einem anderen Ort zu liegen. Danke Larsson Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Hi Larsson, paßt zwar nicht 100% auf Dein Problem, aber nutze trotzdem einmal die Anleitung zur Neuregistrierung der scm.mof: A Service Control Manager (SCM) event cannot be logged in the System event log on a Windows Server 2003-based computer Alternativ zu AT kannst Du auch "PsExec.exe \\computername -s cmd" nutzen, um in den Systemkontext zu kommen. Werden vielleicht irgendwelche anderen relevanten Events geloggt, die auf einen Fehler hinweisen? Viele Grüße olc Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Off-Topic:Mittlerweile hat sich ja rausgestellt, das es doch ein ernsthafteres Problem ist als ich auf den ersten Blick vermutet habe... Was ein Glück das olc die Lust an dem Thread doch noch nicht verloren hat ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.