none
Eventlog - Inkonsistenz in maximaler Größe RRS feed

  • Frage

  • Hallo zusammen,

    ich habe einen merkwürdigen Effekt und hoffe, dass jemand eine schlaue Erklärung hat. Wir haben eine GPO aufgehängt, die auf den Memberservern die maximale Größe der Eventlogs auf 1048576 KB erweitert. Wenn ich nun auf dem Server über verschiedene Wege (Powershell, Registry und MMC) prüfe, ob dieser Wert gesetzt wurde, bekomme ich unterschiedliche Angaben. Laut Powershell und Registry steht der Wert auf den standardmäßigen 20 MB. Die MMC behauptet, dass der Wert von 1048576 angewandt wurde.

    Die Policy wird vernünftig verarbeitet und ich kann keine Fehler entdecken. Kann sich jemand erklären, wie die unterschiedlichen Werte zustande kommen?

    Zur Veranschaulichung ein Screenshot, auf dem die Situation sichtbar ist.

    Ich bin für jede Idee dankbar!

    VG
    Andreas


    Dienstag, 22. März 2016 16:33

Antworten

  • Am 23.03.2016 um 11:17 schrieb Andreas - chaos.local:
    > Kannst du mich erhellen, was den Zweck der beiden Pfade angeht?
     
    Der erste ist eine "PReference/Einstellung", der 2te ist eine
    "Policy/Richtlinie"
    Der 2te Wert wird bevorzugt wenn er existiert, existiert er nicht, wird
    der PreferenceWert verwendet. Das ist also praktisch der Wert, wenn er
    nicht über eine Gruppenrictlinie kontrolliert wird.
     
    Warum ein alternativer PFad?
    - damit er in der Registry/Datenbank vor Benutzerzugriff geschützt
    werden kann und im Fall von HKCU hat ein Benutzer dort nur Leserechte,
    keine Ändern-Rechte
    - wenn der Wert zusätzlich hinzukommt, dann kann er auch gefahrlos
    gelöscht werden, denn es gibt immer noch eine Wert, den das System
    verwenden kann.
     
    Die Applikation muss so programmiert sein, daß sie erst in Policies
    schaut und den Wert akzeotiert. Ist dort nichts ist, dann verwendet sie
    den den Preference Wert.
     
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 23. März 2016 11:39

Alle Antworten

  • Hi,
     
    Am 22.03.2016 um 17:33 schrieb Andreas - chaos.local:
    > Laut Powershell und Registry steht der Wert auf den standardmäßigen 20
    > MB.
     
    Dann fragen diesen den "realen" Pfad in der Registry nach der Größe.
     
    > Die MMC behauptet, dass der Wert von 1048576 angewandt wurde.
     
    Das Eventlog liest den Wert präferiert aus den .\Policies. Diese sind
    gültig, anstelle der "realen".
     
    Wen du es abfragen willst musst du die FileSize kontrollieren, denn
    sonst weist du nur was sein sollte und was gesetzt ist.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 22. März 2016 17:13
  • Hallo Mark,

    leider verstehe ich deine Antwort nicht ganz.

    > Dann fragen diesen den "realen" Pfad in der Registry nach der Größe.
    Was meinst du mit "real"? Beziehst du dich auf den Pfad aus meinem Screenshot?

    > Das Eventlog liest den Wert präferiert aus den .\Policies. Diese sind gültig, anstelle der "realen".
    Was sind .\Policies? Auch hier wäre ein Pfadangabe super.

    > Wen du es abfragen willst musst du die FileSize kontrollieren, denn sonst weist du nur was sein sollte und was gesetzt ist.
    Welche FileSize? Meinst du den Wert MaxFileSize? Oder die aktuelle LogSize?

    Generell wäre es gut zu wissen, wo nun die tatsächlich gültigen und angewandten Werte hinterlegt sind, so dass ich sie auslesen kann.

    Vielen Dank und Gruß
    Andreas


    Mittwoch, 23. März 2016 08:18
  • OK, habe mir die Pfade inzwischen selbst zusammengereimt.

    Das CMDlet ruft diesen Pfad ab:
    HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application

    Die Werte, welche per GPO verteilt werden und in der MMC zu sehen sind, werden aber hier abgelegt:
    HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application

    Kannst du mich erhellen, was den Zweck der beiden Pfade angeht? Enthält der erste immer nur die Defaultwerte? Wann greift das System auf welchen Pfad zurück?

    VG
    Andreas

    Mittwoch, 23. März 2016 10:17
  • Am 23.03.2016 um 11:17 schrieb Andreas - chaos.local:
    > Kannst du mich erhellen, was den Zweck der beiden Pfade angeht?
     
    Der erste ist eine "PReference/Einstellung", der 2te ist eine
    "Policy/Richtlinie"
    Der 2te Wert wird bevorzugt wenn er existiert, existiert er nicht, wird
    der PreferenceWert verwendet. Das ist also praktisch der Wert, wenn er
    nicht über eine Gruppenrictlinie kontrolliert wird.
     
    Warum ein alternativer PFad?
    - damit er in der Registry/Datenbank vor Benutzerzugriff geschützt
    werden kann und im Fall von HKCU hat ein Benutzer dort nur Leserechte,
    keine Ändern-Rechte
    - wenn der Wert zusätzlich hinzukommt, dann kann er auch gefahrlos
    gelöscht werden, denn es gibt immer noch eine Wert, den das System
    verwenden kann.
     
    Die Applikation muss so programmiert sein, daß sie erst in Policies
    schaut und den Wert akzeotiert. Ist dort nichts ist, dann verwendet sie
    den den Preference Wert.
     
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 23. März 2016 11:39
  • Hallo Mark,

    vielen Dank für die ausführliche Antwort. Das hat einiges klargestellt. Dass das CMDlet tatsächlich nur den einen Pfad abfragt, finde ich etwas schade. Aber mit deinen Infos, kann ich die Einstellungen ja jetzt direkt aus der Registry lesen.

    Nochmals vielen Dank und Gruß
    Andreas

    Mittwoch, 23. März 2016 14:47