Einige unserer Sensoren verwenden intern die Windows Ereignisanzeige, um Daten abzurufen. Dieses kann, je nach Anwendungsfall, allerdings sehr schnell "voll" werden. Insbesondere bei Sensoren, die prüfen, ob Ereignisse über einen längeren Zeitraum anliegen kann dies zu fehlerhaften Alarmierungen führen. 


Beispiel:

Ein Backup-Sensor meldet, dass seit 8 Tagen kein Backup mehr durchgeführt wurde. Das letzte Backup ist aber erst 3 Tage her, somit weit vor dem Wert, an dem alarmiert werden soll. 


Problem:

Der Sensor ruft Backup-Informationen aus dem Windows Ereignisprotokoll ab, kann aber durch eine automatische Bereinigung keine Informationen beziehen, das Ergebnis des letzten Backups wurde bereits gelöscht. 


Abhilfe:

Abhilfe schafft hier eine Vergrößerung des Speichers für das Windows Ereignisprotokoll:

  • Öffnen Sie die Windows Ereignisanzeige durch Eingabe von eventvwr im Ausführen Dialog von Windows. 
  • Wählen Sie hier nun "Windows Protokolle" und öffnen Sie diesen Unterbaum.  

  • Klicken Sie mit der rechten Maustaste auf "Anwendung"
  • Wählen Sie im Kontextmenü "Eigenschaften"

  • Erhöhen Sie nun den Wert unter Max. Protokollgröße (KB) auf einen höheren Wert (beispielsweise 4194240 - siehe Empfohlene Einstellung für das Ereignisprotokoll Größen in Windows

  • Klicken Sie nun auf OK. 


Beachten Sie: Der häufigste Fall betrifft das Windows-Protokoll "Anwendung", es kann aber, je nach Sensor, notwendig sein, ein anderes Windows Protokoll zu vergrößern. 


Informationen über die jeweils empfohlene Größe der Windows Ereignisse finden Sie hier: Empfohlene Einstellung für das Ereignisprotokoll Größen in Windows