gullie
Goto Top

Hohe CPU-Auslastung durch EventLog

Moin in die Runde,

ich habe gerade auf einem Exchange (Server 2012 R2 => VM) das Problem, dass mein EventLog im Schnitt fast 30% CPU schluckt (siehe Screenshout Ressourcenmonitor). Im EventLog-Bereich Sicherheit finde ich zudem tausende An-/Abmeldungen. Im Sekundentakt kommen da neue Einträge hinzu - etwas zu viel für meinen Geschmack und erklärt dann natürlich auch den CPU-Wert. Logging-Einstellungen sind auf Standard und so viele Clients (ca. 50 PCs + 30 Mobilgeräte) hängen da jetzt auch nicht dran.

Das Phänomen trat auch erst verstärkt auf, als ich ESET Mail Security von v5 auf v6 umgestellt hatte. Bisher konnte mir da aber auch noch keiner weiterhelfen.

Bitte mal um mögliche Lösungsansätze - Danke schon mal im Voraus, Peter.
cpu-ex-1
cpu-ex-2

Content-ID: 368191

Url: https://administrator.de/forum/hohe-cpu-auslastung-durch-eventlog-368191.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

DerWoWusste
DerWoWusste 15.03.2018 um 09:20:55 Uhr
Goto Top
Hi.

Prüfe mal die Überwachungseinstellungen des OS, nicht die von Exchange.
gullie
gullie 15.03.2018 um 09:37:40 Uhr
Goto Top
Wie gesagt, sollte alles Standard sein...
cpu-ex-3
DerWoWusste
DerWoWusste 15.03.2018 um 09:46:50 Uhr
Goto Top
Das ist doch nicht standard. Vergleich mit einer neu installierten VM.
gullie
gullie 15.03.2018 aktualisiert um 10:30:43 Uhr
Goto Top
Naja zumindestens habe ich nichts bewusst selbst geändert. Ich weiß auch nicht was bei der Exchange-Installation in dem Bereich geändert wird - von daher kann ich es ja auch nicht unbedingt mit einer blanken VM vergleichen. Mal schauen...
DerWoWusste
DerWoWusste 15.03.2018 um 10:43:03 Uhr
Goto Top
Exchange ändert da gar nichts, alles wäre unkonfiguriert!
gullie
gullie 15.03.2018 um 11:02:21 Uhr
Goto Top
Also alle anderen Server haben exakt dieselbe Konfiguration, egal ob Fileserver, Applicationserver, DB, DC. Deswegen gehe ich mal davon aus dass es sich dabei auch um die Default-Settings handelt. In den lokalen Richtlinien und GPOs ist auch nix dahingehend gesetzt.
DerWoWusste
DerWoWusste 15.03.2018 aktualisiert um 11:12:02 Uhr
Goto Top
Glaub es, oder lass es: ein Ex2016 hat diese Einstellungen nicht. Vielleicht setzen es externe Softwares, die Du einsetzt oder Skripte, die Du derzeit nicht im Blick hast oder Domänen-GPOs.
gullie
gullie 15.03.2018 um 11:28:13 Uhr
Goto Top
Ich habe doch gar nicht gesagt, dass Exchange das ändert. Ich habe lediglich angemerkt, dass es möglich wäre, dass bei der Installation in dem Bereich was verändert wird und das dann in dem Fall ja auch bestimmt gewollt ist.

Ist ja auch Wurscht vom Prinzip... Aber deine Aussage von wegen "Das ist doch nicht Standard" hinkt ein wenig, wenn es auf allen anderen auch gesetzt ist und auch kein Skript oder GPO das ändert. Zudem ist diese Konfiguration laut folgender Seite auch DEFAULT!

https://adminthing.blogspot.de/2016/03/ServerHardening.html

Vielleicht müsste man auch eher der Anzahl an An-/Abmeldungen auf den Grund gehen und nicht den Audit-Settings. Deswegen ja meine Frage...
DerWoWusste
DerWoWusste 15.03.2018 um 11:47:15 Uhr
Goto Top
Nimmst Du Entschuldigungen an? Ich bin von 2016 ausgegangen, nicht von 2012 R2, auch wenn du es geschrieben hast. Bei 2012 R2 habe ich auch diese auditpol-Einstellungen. Nun kann ich schlecht mit dem Logging auf unserem Exchange 2016 vergleichen, da der auf Server 2016 basiert und da andere Defaults herrschen, sorry.

Ich schaue mir gerade an, warum auf 2012 R2 andere Defaults gelten als auf 2016 - mich wundert das ziemlich.
gullie
gullie 15.03.2018 um 12:24:40 Uhr
Goto Top
Kein Thema. Der Link beschreibt ja auch 2008 R2 - aber dort gelten scheinbar auch 2012er Settings.