Konfigurieren der automatischen Archivierung von Exchange-Überwachungsereignisprotokollen

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Letztes Änderungsdatum des Themas: 2009-05-15

In diesem Thema wird erläutert, wie das Tool Ereignisanzeige in Windows Server 2008 für die automatischen Archivierung von Microsoft Exchange-Überwachungsereignisprotokollen verwendet wird.

Windows Server 2008 kann das Ereignisprotokoll automatisch archivieren, wenn die maximale Größe des Ereignisprotokolls erreicht wurde. Diese Windows Server 2008-Ereignisprotokolleinstellung trägt den Namen Volles Protokoll archivieren, Ereignisse nicht überschreiben. Diese Einstellung ist standardmäßig für das Exchange-Überwachungsereignisprotokoll aktiviert. Wenn die maximale Größe des Exchange-Überwachungsereignisprotokolls erreicht wird, schließt Windows Server 2008 die aktuelle Protokolldatei und archiviert die Protokolldatei in dem Ordner, in dem das Exchange-Überwachungsprotokoll gespeichert ist. Sie können die archivierten Protokolldateien unter Gespeicherte Protokolle in der Ereignisanzeige anzeigen.

Wichtig

Es wird nicht empfohlen, die Überwachungsprotokolle auf den gleichen logischen Laufwerken wie die Datenbank und die Transaktionsprotokolldateien zu speichern. Wenn der verfügbare Speicherplatz auf der Festplatte gering ist und die Überwachungsprotokolle den verfügbaren Speicherplatz vollständig belegen, hebt der Microsoft Exchange-Informationsspeicherdienst die Bereitstellung der Datenbanken aufgrund von unzureichendem Speicherplatz auf dem Datenträger auf.

Für den Befehl zum Archivieren der Protokolldatei gilt das folgende Format:

Archive-<Name_der_Exchange_Überwachungsprotokolldatei>-<datetime>.evtx

Wenn der Pfadname der Exchange-Überwachungsprotokolldatei z. B. D:\ExchangeAuditing\ExchangeAuditing.evtx lautet, ähnelt der Dateiname dem folgenden Namen:

Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx

Wenn für eine Protokolldatei ein Rollovervorgang ausgeführt wurde, wird die Ereignis-ID 105 im Systemprotokoll protokolliert. Dieses Ereignis ähnelt dem folgenden Ereignis:

Beispieleintrag für die Ereignis-ID 105

Protokollname: System

Quelle: Microsoft-Windows-Eventlog

Ereignis-ID: 105

Aufgabenkategorie: Protokoll automatisch gesichert

Ebene: Information

Beschreibung:

Automatische Sicherung des Ereignisprotokolls

Protokoll: Exchange-Überwachung

Datei: d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725

Bevor Sie beginnen

Damit Sie das nachstehende Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • Lokale Administratorrechte

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange Server 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Verfahren

So verwenden Sie die Ereignisanzeige von Windows Server 2008 zum automatischen Archivieren von Ereignisprotokollen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie eventvwr ein, und klicken Sie dann auf OK.

  2. Erweitern Sie in der Ereignisanzeige die Protokolle Anwendung und Dienste, und klicken Sie dann auf Exchange-Überwachung.

  3. Klicken Sie mit der rechten Maustaste auf Exchange-Überwachung, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf Volles Protokoll archivieren, Ereignisse nicht überschreiben.

  5. Klicken Sie auf OK.

Weitere Informationen

Weitere Informationen zur Exchange-Überwachung finden Sie unter Informationen zur Postfachzugriffsüberwachung mit Exchange Server 2007.