none
Domain Controller W2K8 R2: svchost.exe Service Eventlog erzeugt hohe CPU-Last RRS feed

  • Frage

  • Hallo zusammen,

    wir nehmen gerade neue Domain Controller unter W2K8 R2 in Betrieb. Domain Functional Level ist Windows Server 2003.

    Einige Server haben nach einigen Betriebsstunden eine hohe CPU-Last, zwischen 90 und 100%.
    Zurückzuführen ist dies auf die svchost.exe, die für die Services DHCP, Eventlog und LMHosts zuständig ist.  Mit dem Processmonitor ist ersichtlich, dass fast permanenent lesend auf Dateien zugriffen wird.
    Mit dem Processexplorer ist ersichtlich, dass der Thread, der die hohe Last erzeugt, seine Startadresse bei ntdll.dll!EtwTraceMessageVA+0x130 hat.
    Hier komme ich  nicht weiter. Im Internet habe ich nichts wirklich passendes gefunden.

    Hat jemand eine Idee, wie ich das weiter untersuchen kann?

    Viele Grüße und Danke!
    Ina

    Montag, 1. August 2011 13:51

Antworten

  • > Bzgl. der Eventlogs haben wir per GPO die Überwachungsrichtlinien
    > erweitert. Das ist ein guter Ansatz für die weitere Suche. Ich vermute,
     
    Hmmmm - die Überwachung sollte man nur dann aktivieren, wenn es gute
    Gründe dafür gibt. Die erzeugt je nach Umfang Millionen von Events im
    Security Log, und Du hast ja schon festgestellt, daß Euer Server damit
    etwas "zu tun" hat...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    • Als Antwort markiert InaO Dienstag, 2. August 2011 13:13
    Dienstag, 2. August 2011 07:57

Alle Antworten

  • Hallo Ina.

    Bin jetzt zwar nicht der große Debugger, aber: EtwTraceMessageVA klingt nach Ereignisprotokollierung. (Etw steht zumindest für Event Tracing for Windows). Habt Ihr in der Richtung irgendwas individualisiert?

    Und trag im Procexp mal die Symbols ein, dann siehst Du mehr als nur "+0x130".

    BTW: Wenn Du schon siehst, dass überwiegend lesend zugegriffen wird und wenn Du den Prozess dazu auch schon kennst: Auf was greift der denn zu?

    mfg Martin


    A bissle "Experience", a bissle GMV...
    Montag, 1. August 2011 17:18
  • Hallo Martin,

    danke für die Tipps.

    Es wird lesend auf die Eventlogdateien zugegriffen, und zwar zum größten Teil auf %systemroot%\system32\winevt\logs\Security.evtx. 

    Bzgl. der Eventlogs haben wir per GPO die Überwachungsrichtlinien erweitert. Das ist ein guter Ansatz für die weitere Suche. Ich vermute, es gibt unter W2K8 wesentlich mehr Events die zu loggen sind als unter W2K3.

    Melde mich mit Ergebnissen wieder.

    Gruß

    Ina

     

     

     

    Dienstag, 2. August 2011 06:47
  • > Bzgl. der Eventlogs haben wir per GPO die Überwachungsrichtlinien
    > erweitert. Das ist ein guter Ansatz für die weitere Suche. Ich vermute,
     
    Hmmmm - die Überwachung sollte man nur dann aktivieren, wenn es gute
    Gründe dafür gibt. Die erzeugt je nach Umfang Millionen von Events im
    Security Log, und Du hast ja schon festgestellt, daß Euer Server damit
    etwas "zu tun" hat...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    • Als Antwort markiert InaO Dienstag, 2. August 2011 13:13
    Dienstag, 2. August 2011 07:57
  • Habe jetzt die Systemüberwachungsrichtlinien, die in der erweiterten Überwachungsrichlinienkonfiguration konfiguriert werden (Richtlinieneditor: Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen), komplett deaktiviert und siehe da, die CPU-Last ging deutlich runter (max. 20%). Diese Überwachungsrichtlinien sind in W2K8 wohl neu. Ich werde sie jetzt schrittweise wieder aktivieren, ausgewogen zwischen Menge der Ereignisse und Sicherheitsbedarf

    Gruß

    Ina

    Dienstag, 2. August 2011 13:12