Remove From My Forums

Exchange LOG füllt sich 1 GB pro Stunde

Frage
0

Anmelden

Hallo zusammen,

leider füllt sich gerade unser Exchange. Ca. 1GB Logs pro Stunde? wie finde ich heraus wer das verursacht?

Chris

Montag, 2. Mai 2016 06:47

Antworten

|

Zitieren

Antworten

0

Anmelden
Moin,

meinst Du die Datenbank-Logs? Da gibt es moistens drei Ursachen:

1. Es werden Postfächer in die Datenbank verschoben, deren Log sich füllt --> Get-MoveRequest

2. Es findet übermäßiger Mail-Traffic statt (Spam oder Marketing-Abteilung) --> Get-MessageTrackingLog

3. Jemand importiert Daten in sein Postfach oder bewegt sie (z.B. wollte Ordner im Postfach verscheieben und kopiert ihn statt dessen). Hier hilft nur die Beobachtung der Mailbox-Größe bzw. Anzahl Items.

Wenn die Admins nicht über jeden Verdacht erhaben sind, könnte man auch noch prüfen, ob jemand zufällig eine Journal-Mailbox aktiviert hat ;-)

Gruß
Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:32
Montag, 2. Mai 2016 07:11

Antworten

|

Zitieren
0

Anmelden
ad 1. wenn Logs so krass anwachsen, dürfte ja auch schon ein Vergleich mit dem vorherigen Wert in 20 Minuten Abstand helfen ;-)

ad 2 Get-MailboxDatabase | ft Name, JournalRecipient
Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Montag, 2. Mai 2016 09:20

Antworten

|

Zitieren
0

Anmelden
Nicht wirklich. Klar, Forensiker haben auch dafür Tools, aber alle anderen müssen sich in etwa so behelfen: https://blogs.msdn.microsoft.com/scottos/2007/07/12/rough-and-tough-guide-to-identifying-patterns-in-transaction-logs/

Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Bearbeitet Evgenij Smirnov Montag, 2. Mai 2016 12:50
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Montag, 2. Mai 2016 12:50

Antworten

|

Zitieren
0

Anmelden
nur zu Vollständigkeit für andere mit ähnlichem Problem um Fehler schnell zu finden.

das hat uns sehr geholfen

1. W3SVC1 Log viele gleiche ActiveSync Einträge von einem User

L:\TransportRoles\Logs\inetpub\logs\LogFiles\W3SVC1

2. Diese Script zur Ermittlung der Mailboxgröße hat inconsitente Mailboxen gefunden

get-mailbox -resultsize unlimited | get-mailboxstatistics | sort totalitemsize | Select-Object DisplayName, LastLoggedOnUserAccount, @{Name="TotalItemSize"; Expression={$_.TotalItemSize.Value.ToBytes()}}, DatabaseName | ft displayname,lastloggedonuseraccount,totalitemsize,databasename >c:\batch\Mailboxsize.txt

Chris
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Dienstag, 3. Mai 2016 06:31

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Moin,

meinst Du die Datenbank-Logs? Da gibt es moistens drei Ursachen:

1. Es werden Postfächer in die Datenbank verschoben, deren Log sich füllt --> Get-MoveRequest

2. Es findet übermäßiger Mail-Traffic statt (Spam oder Marketing-Abteilung) --> Get-MessageTrackingLog

3. Jemand importiert Daten in sein Postfach oder bewegt sie (z.B. wollte Ordner im Postfach verscheieben und kopiert ihn statt dessen). Hier hilft nur die Beobachtung der Mailbox-Größe bzw. Anzahl Items.

Wenn die Admins nicht über jeden Verdacht erhaben sind, könnte man auch noch prüfen, ob jemand zufällig eine Journal-Mailbox aktiviert hat ;-)

Gruß
Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:32
Montag, 2. Mai 2016 07:11

Antworten

|

Zitieren
0

Anmelden

Mailbox Größe ermitteln hat geholfen. Da war eine Mailbox mit Umlaut (aber nicht bei EMail) corrupt. Vermutlich falsches Zeichen drinnen. Die Mailbox passt jetzt wieder. Das Log beruhigt sich.
Chris

Montag, 2. Mai 2016 07:51

Antworten

|

Zitieren
0

Anmelden

3. Jemand importiert Daten in sein Postfach oder bewegt sie (z.B. wollte
Ordner im Postfach verscheieben und kopiert ihn statt dessen). Hier hilft nur
die Beobachtung der Mailbox-Größe bzw. Anzahl Items.

da bräuchte man aber vorher eine Ausdruck zum vergleichen?

<o:p></o:p>

Wenn die Admins nicht über jeden Verdacht erhaben sind, könnte man auch noch
prüfen, ob jemand zufällig eine Journal-Mailbox aktiviert hat ;-)<o:p></o:p>
gibt es einen Befehl um das herauszufinden, ob ein Journal aktiviert ist.
Chris

Montag, 2. Mai 2016 08:55

Antworten

|

Zitieren
0

Anmelden
ad 1. wenn Logs so krass anwachsen, dürfte ja auch schon ein Vergleich mit dem vorherigen Wert in 20 Minuten Abstand helfen ;-)

ad 2 Get-MailboxDatabase | ft Name, JournalRecipient
Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Montag, 2. Mai 2016 09:20

Antworten

|

Zitieren
0

Anmelden

kann man die LOG lesen, damit wir sehen was bzw. wer das verursacht hat?

ich glaube beim SQL kann man LOG lesen, vielleicht gibt es beim Exchange auch ein TOOL

Chris

Montag, 2. Mai 2016 12:28

Antworten

|

Zitieren
0

Anmelden
Nicht wirklich. Klar, Forensiker haben auch dafür Tools, aber alle anderen müssen sich in etwa so behelfen: https://blogs.msdn.microsoft.com/scottos/2007/07/12/rough-and-tough-guide-to-identifying-patterns-in-transaction-logs/

Evgenij Smirnov

msg services ag, Berlin -> http://www.msg-services.de

my personal blog (mostly German) -> http://it-pro-berlin.de

Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Bearbeitet Evgenij Smirnov Montag, 2. Mai 2016 12:50
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Montag, 2. Mai 2016 12:50

Antworten

|

Zitieren
0

Anmelden
nur zu Vollständigkeit für andere mit ähnlichem Problem um Fehler schnell zu finden.

das hat uns sehr geholfen

1. W3SVC1 Log viele gleiche ActiveSync Einträge von einem User

L:\TransportRoles\Logs\inetpub\logs\LogFiles\W3SVC1

2. Diese Script zur Ermittlung der Mailboxgröße hat inconsitente Mailboxen gefunden

get-mailbox -resultsize unlimited | get-mailboxstatistics | sort totalitemsize | Select-Object DisplayName, LastLoggedOnUserAccount, @{Name="TotalItemSize"; Expression={$_.TotalItemSize.Value.ToBytes()}}, DatabaseName | ft displayname,lastloggedonuseraccount,totalitemsize,databasename >c:\batch\Mailboxsize.txt

Chris
- Als Antwort markiert -- Chris -- Dienstag, 3. Mai 2016 06:31
Dienstag, 3. Mai 2016 06:31

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Exchange LOG füllt sich 1 GB pro Stunde

Frage

Antworten

Alle Antworten