5
Fehler im Exchange Eventlog: 4004 MSComplianceAudit
Hallo,
ich betreibe 2 lokale Exchange 2019 Server (CU15) in einer DAG. Auf einem der beiden Server bekomme regelmäßig folgende Fehlermeldung in den Eventlogs:
Protokollname: Application
Quelle: MSComplianceAudit
Datum: 28.03.2025 09:26:43
Ereignis-ID: 4004
Aufgabenkategorie:LogReader
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: SRVEXa.local
Beschreibung:
LogReader failed to read the line from file C:\Program Files\Microsoft\Exchange Server\V15\Logging\LocalQueue\Exchange\audit20250326-26.LOG at position 261192.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="MSComplianceAudit" />
<EventID Qualifiers="49152">4004</EventID>
<Level>2</Level>
<Task>4</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2025-03-28T08:26:43.139147400Z" />
<EventRecordID>10924024</EventRecordID>
<Channel>Application</Channel>
<Computer>SRVEXa.local</Computer>
<Security />
</System>
<EventData>
<Data>C:\Program Files\Microsoft\Exchange Server\V15\Logging\LocalQueue\Exchange\audit20250326-26.LOG</Data>
<Data>261192</Data>
</EventData>
</Event>
Es wird hierbei immer eine andere Logdatei angemeckert und tatsächlich sehe ich , dass die letzte Zeile der Logdatei nicht richtig auszusehen scheint.
Bei diesen Logdateien ist immer dieses Muster in der letzten Zeile vorzufinden (entspricht auch der Positionsnummer aus der Fehlermeldung)
2025-03-26T11:45:30.438Z,36608,powershell,ExchangeAdmin,,,2025-03-26T12:12:08.768Z,8440,microsoft.exchange.mitigation.service,ExchangeAdmin,,,"{""CreationTime"":""2025-03-26T12:12:08"",""Id"":""014cbf20-802e-4c6b-4e08-08dd6c5f6e7a"",""Operation"":""Set-ExchangeServer"",""OrganizationId"":""00000000-0000-0000-0000-000000000000"",""RecordType"":1,""ResultStatus"":""True"",""UserKey"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""UserType"":3,""Version"":1,""Workload"":""Exchange"",""ObjectId"":""SRVEXa"",""UserId"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""ExternalAccess"":false,""OrganizationName"":""First Org"",""OriginatingServer"":""SRVEXa (15.02.1748.010)"",""Parameters"":[{""Name"":""Identity"",""Value"":""SRVEXa""},{""Name"":""MitigationsApplied"",""Value"":""PING1""},{""Name"":""MitigationsAppliedTime"",""Value"":""26.03.2025 12:12:08""}]}",
hier sieht es so aus, als ob die Informationen in der Zeile nicht komplett zu Ende geschrieben werden
2025-03-26T11:45:30.438Z,36608,powershell,ExchangeAdmin,,,
und dann diese Infos in der gleichen Zeile mit angehängt werden
2025-03-26T12:12:08.768Z,8440,microsoft.exchange.mitigation.service,ExchangeAdmin,,,"{""CreationTime"":""2025-03-26T12:12:08"",""Id"":""014cbf20-802e-4c6b-4e08-08dd6c5f6e7a"",""Operation"":""Set-ExchangeServer"",""OrganizationId"":""00000000-0000-0000-0000-000000000000"",""RecordType"":1,""ResultStatus"":""True"",""UserKey"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""UserType"":3,""Version"":1,""Workload"":""Exchange"",""ObjectId"":""SRVEXa"",""UserId"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""ExternalAccess"":false,""OrganizationName"":""First Org"",""OriginatingServer"":""SRVEXa (15.02.1748.010)"",""Parameters"":[{""Name"":""Identity"",""Value"":""SRVEXa""},{""Name"":""MitigationsApplied"",""Value"":""PING1""},{""Name"":""MitigationsAppliedTime"",""Value"":""26.03.2025 12:12:08""}]}",
wir konnten auf dem betroffenen Server keine weiteren Probleme feststellen. Der Healthchecker findet auch keine Probleme.
Hat jemand eine Idee, wie man der Ursache dieser Fehlermeldung auf die Schliche kommen kann?
Danke & Gruß
Anton
ich betreibe 2 lokale Exchange 2019 Server (CU15) in einer DAG. Auf einem der beiden Server bekomme regelmäßig folgende Fehlermeldung in den Eventlogs:
Protokollname: Application
Quelle: MSComplianceAudit
Datum: 28.03.2025 09:26:43
Ereignis-ID: 4004
Aufgabenkategorie:LogReader
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: SRVEXa.local
Beschreibung:
LogReader failed to read the line from file C:\Program Files\Microsoft\Exchange Server\V15\Logging\LocalQueue\Exchange\audit20250326-26.LOG at position 261192.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="MSComplianceAudit" />
<EventID Qualifiers="49152">4004</EventID>
<Level>2</Level>
<Task>4</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2025-03-28T08:26:43.139147400Z" />
<EventRecordID>10924024</EventRecordID>
<Channel>Application</Channel>
<Computer>SRVEXa.local</Computer>
<Security />
</System>
<EventData>
<Data>C:\Program Files\Microsoft\Exchange Server\V15\Logging\LocalQueue\Exchange\audit20250326-26.LOG</Data>
<Data>261192</Data>
</EventData>
</Event>
Es wird hierbei immer eine andere Logdatei angemeckert und tatsächlich sehe ich , dass die letzte Zeile der Logdatei nicht richtig auszusehen scheint.
Bei diesen Logdateien ist immer dieses Muster in der letzten Zeile vorzufinden (entspricht auch der Positionsnummer aus der Fehlermeldung)
2025-03-26T11:45:30.438Z,36608,powershell,ExchangeAdmin,,,2025-03-26T12:12:08.768Z,8440,microsoft.exchange.mitigation.service,ExchangeAdmin,,,"{""CreationTime"":""2025-03-26T12:12:08"",""Id"":""014cbf20-802e-4c6b-4e08-08dd6c5f6e7a"",""Operation"":""Set-ExchangeServer"",""OrganizationId"":""00000000-0000-0000-0000-000000000000"",""RecordType"":1,""ResultStatus"":""True"",""UserKey"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""UserType"":3,""Version"":1,""Workload"":""Exchange"",""ObjectId"":""SRVEXa"",""UserId"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""ExternalAccess"":false,""OrganizationName"":""First Org"",""OriginatingServer"":""SRVEXa (15.02.1748.010)"",""Parameters"":[{""Name"":""Identity"",""Value"":""SRVEXa""},{""Name"":""MitigationsApplied"",""Value"":""PING1""},{""Name"":""MitigationsAppliedTime"",""Value"":""26.03.2025 12:12:08""}]}",
hier sieht es so aus, als ob die Informationen in der Zeile nicht komplett zu Ende geschrieben werden
2025-03-26T11:45:30.438Z,36608,powershell,ExchangeAdmin,,,
und dann diese Infos in der gleichen Zeile mit angehängt werden
2025-03-26T12:12:08.768Z,8440,microsoft.exchange.mitigation.service,ExchangeAdmin,,,"{""CreationTime"":""2025-03-26T12:12:08"",""Id"":""014cbf20-802e-4c6b-4e08-08dd6c5f6e7a"",""Operation"":""Set-ExchangeServer"",""OrganizationId"":""00000000-0000-0000-0000-000000000000"",""RecordType"":1,""ResultStatus"":""True"",""UserKey"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""UserType"":3,""Version"":1,""Workload"":""Exchange"",""ObjectId"":""SRVEXa"",""UserId"":""NT-AUTORITÄT\\SYSTEM (Microsoft.Exchange.Mitigation.Service)"",""ExternalAccess"":false,""OrganizationName"":""First Org"",""OriginatingServer"":""SRVEXa (15.02.1748.010)"",""Parameters"":[{""Name"":""Identity"",""Value"":""SRVEXa""},{""Name"":""MitigationsApplied"",""Value"":""PING1""},{""Name"":""MitigationsAppliedTime"",""Value"":""26.03.2025 12:12:08""}]}",
wir konnten auf dem betroffenen Server keine weiteren Probleme feststellen. Der Healthchecker findet auch keine Probleme.
Hat jemand eine Idee, wie man der Ursache dieser Fehlermeldung auf die Schliche kommen kann?
Danke & Gruß
Anton
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672215
Url: https://administrator.de/forum/fehler-im-exchange-eventlog-4004-mscomplianceaudit-672215.html
Ausgedruckt am: 01.04.2025 um 05:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
bzgl dem angefragten Thema: habe ich aktuell keine Ahnung.
Fakt ist aber, Du hast noch ganz andere Konfigurationsfehler - bitte mache deine internen Daten unkenntlich. Gerne mehr per PM - sonst ist eure Page demnächst defaced.
Gruß
bzgl dem angefragten Thema: habe ich aktuell keine Ahnung.
Fakt ist aber, Du hast noch ganz andere Konfigurationsfehler - bitte mache deine internen Daten unkenntlich. Gerne mehr per PM - sonst ist eure Page demnächst defaced.
Gruß
Hi
die von dir per PM gemeldete Seite ist nicht von uns.
Trotzdem vielen Dank für den Hinweis,
Hatte es im Eifer des Gefechts übersehen und nun den Server FQDN in dem Thread jetzt geändert.
die von dir per PM gemeldete Seite ist nicht von uns.
Trotzdem vielen Dank für den Hinweis,
Hatte es im Eifer des Gefechts übersehen und nun den Server FQDN in dem Thread jetzt geändert.
Dann hat wer anderes (habe eure Page nun auch gefunden), evtl bald ein Problem.
Viel Erfolg bei der Problemlösung.
Gruß
Hatte es im Eifer des Gefechts übersehen und nun den Server FQDN in dem Thread jetzt geändert.
Perfekt - besser so Viel Erfolg bei der Problemlösung.
Gruß
Hi..
habe auch nichts zu sagen weil ich diesen Fehler nicht kenne..
Habe nur anzumelden, daß ich davon ausgehe, daß Du diesen Fehler auch in anderen Foren gepostet hast (Franky, Norbert etc.) Es wäre daher natürlich von Vorteil - wenn es in den andern Foren eine Lösung gab - diese HIER zu posten..
Danke Dir und schönen Abend...
Gruss Globe
habe auch nichts zu sagen weil ich diesen Fehler nicht kenne..
Habe nur anzumelden, daß ich davon ausgehe, daß Du diesen Fehler auch in anderen Foren gepostet hast (Franky, Norbert etc.) Es wäre daher natürlich von Vorteil - wenn es in den andern Foren eine Lösung gab - diese HIER zu posten..
Danke Dir und schönen Abend...
Gruss Globe
Moin,
ich hatte es in den anderen Foren noch nicht geposted. Bei Franky hatte ein anderer Admin im August letzten Jahres auch das gleiche Problem in seiner Umgebung geschildert , allerdings keine Antwort dazu erhalten.
Wenn ich eine Lösung dafür habe, werde ich diese selbstverständlich hier im Forum mit euch teilen
Gruß
Anton
ich hatte es in den anderen Foren noch nicht geposted. Bei Franky hatte ein anderer Admin im August letzten Jahres auch das gleiche Problem in seiner Umgebung geschildert , allerdings keine Antwort dazu erhalten.
Wenn ich eine Lösung dafür habe, werde ich diese selbstverständlich hier im Forum mit euch teilen
Gruß
Anton
