Windows Server 2003 überwachen: Die Ereignisprotokolle

Seien Sie vorsichtig mit der Speicherzeit

Wenn Sie die Speicherzeit beim Ereignisprotokoll falsch konfigurieren, kann es Ihnen passieren, dass Sie wichtige Ereignisse verpassen. Wenn Sie zum Beispiel die Überschreibezeit zu kurz einstellen oder EREIGNISSE BEI BEDARF ÜBERSCHREIBEN bei einer zu kleinen Protokollgröße aktivieren, dann werden Ereignisse überschrieben, sobald sich das Protokoll füllt. Und wenn Sie die Protokollgröße zu klein festlegen und dann EREIGNISSE NIE ÜBERSCHREIBEN aktivieren, werden keine Ereignisse mehr protokolliert, sobald das Protokoll voll ist.

Vorgegeben ist für jede Protokolldatei eine Maximalgröße von 16384 KByte. Wenn diese Größe erreicht ist, werden die ältesten Ereignisse von neuen Ereignissen überschrieben, sofern die Ereignisse mindestens sieben Tage alt sind. Wenn Sie Ereignisse länger speichern müssen, sollten Sie die Dateigröße und die Speicherzeit erhöhen.

Vorgaben bei Ereignisprotokollen

Bei Windows 2000 waren die Vorgaben für Ereignisprotokolle 512 KByte und Überschreiben von Ereignissen, die älter als sieben Tage waren. Bei Windows Server 2003 wurde das Maximum auf praxistauglichere 16384 KByte erhöht, während die sieben Tage unverändert blieben. Das Speicherlimit ist eine signifikante Änderung und könnte Thema in der MCSA/MCSE-Prüfung sein.

Speichereinstellungen von Ereignisprotokollen konfigurieren

1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.

2. Im linken Fensterbereich der MMC Ereignisanzeige klicken Sie mit der rechten Maustaste auf das gewünschte Protokoll. Wählen Sie EIGENSCHAFTEN im Kontextmenü.

3. In den EIGENSCHAFTEN des Protokolls (Bild 9) können Sie die Protokollgröße verändern, die Speicherzeit anpassen oder das Protokoll manuell löschen. Nachdem Sie die gewünschten Änderungen durchgeführt haben, klicken Sie auf OK.