none
[W2K16] Event ID 4; Kernel-EventTracing: Die maximale Dateigröße für Protokoll-Datei erhöhen. RRS feed

  • Frage

  • Servus Community,

    ich bekomme regelmäßig folgende Warnung auf einem Exchange 2016 Cluster Knoten:

    ---snip---

    Protokollname: Microsoft-Windows-Kernel-EventTracing/Admin
    Quelle:        Microsoft-Windows-Kernel-EventTracing
    Datum:         04.10.2020 15:19:36
    Ereignis-ID:   4
    Aufgabenkategorie:Protokollierung
    Ebene:         Warnung
    Schlüsselwörter:Sitzung
    Benutzer:      SYSTEM
    Computer:      UNIVERSE-6.DOMAIN.local
    Beschreibung:
    Die maximal zulässige Dateigröße für die Sitzung "EventLog-Microsoft-Windows-Kernel-IoTrace-Diagnostic" wurde erreicht. Daher können Ereignisse für die Datei "C:\Windows\System32\Winevt\Logs\Microsoft-Windows-Kernel-IoTrace0x800081Diagnostic.etl" verloren gehen (nicht protokolliert werden). Die maximale Dateigröße ist derzeit auf 1048576 Bytes festgelegt.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
        <EventID>4</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>1</Task>
        <Opcode>10</Opcode>
        <Keywords>0x8000000000000010</Keywords>
        <TimeCreated SystemTime="2020-10-04T13:19:36.750407500Z" />
        <EventRecordID>194</EventRecordID>
        <Correlation />
        <Execution ProcessID="4" ThreadID="144" />
        <Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
        <Computer>UNIVERSE-6.DOMAIN.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SessionName">EventLog-Microsoft-Windows-Kernel-IoTrace-Diagnostic</Data>
        <Data Name="FileName">C:\Windows\System32\Winevt\Logs\Microsoft-Windows-Kernel-IoTrace%4Diagnostic.etl</Data>
        <Data Name="ErrorCode">3221225864</Data>
        <Data Name="LoggingMode">8388737</Data>
        <Data Name="MaxFileSize">1048576</Data>
      </EventData>
    </Event>
    ---snap---

    Wo kann man die Größe der Protokoll-Datei anpassen und was sind sinnvolle Größen?

    Könnte dieses Problem auch ursächlich sein für einige Andere Events auf diesen System, wie zB:

    ---snip---

    Protokollname: Microsoft-Windows-Kernel-EventTracing/Admin
    Quelle:        Microsoft-Windows-Kernel-EventTracing
    Datum:         19.11.2020 08:58:19
    Ereignis-ID:   2
    Aufgabenkategorie:Sitzung
    Ebene:         Fehler
    Schlüsselwörter:Sitzung
    Benutzer:      SYSTEM
    Computer:      UNIVERSE-6.DOMAIN.local
    Beschreibung:
    Beim Starten der Sitzung "RemoteCommandExecutionLog" ist der folgende Fehler aufgetreten: 0xC0000035.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
        <EventID>2</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>2</Task>
        <Opcode>12</Opcode>
        <Keywords>0x8000000000000010</Keywords>
        <TimeCreated SystemTime="2020-11-19T07:58:19.165438600Z" />
        <EventRecordID>219</EventRecordID>
        <Correlation />
        <Execution ProcessID="5488" ThreadID="1292" />
        <Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
        <Computer>UNIVERSE-6.DOMAIN.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SessionName">RemoteCommandExecutionLog</Data>
        <Data Name="FileName">
        </Data>
        <Data Name="ErrorCode">3221225525</Data>
        <Data Name="LoggingMode">16809993</Data>
      </EventData>
    </Event>

    ---snap---

    Und noch eine weitere dieser Art, jedoch für die Sitzung 'QueryRequestLog'. Eine zeitliche Korrelation zwischen der Warnung und diesem Fehler besteht jedoch nicht. Die og Warnung scheint nur beim Systemstart aufzutreten, die beiden Fehler treten jedoch täglich auf.

    Thx & Bye Tom

    Freitag, 20. November 2020 09:35

Antworten

  • Hallo Tom,

    versuche hier die maximalle Dateigröße zu erhöhen 

    KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ReadyBoot

    Der MaxFileSize Key ist ein DWORD mit einem Standartddezimalwert von 20, Erhöhe dies, sagen wir 60 oder, was für Dich vernünftig ist. 

    Grüße,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 20. November 2020 16:22
    Moderator