Syslog Collector Troubleshooting

Syslog Collector logt nicht

ESXi Hosts, welche vom Flashmedium booten haben keinen permanenten Logspeicher. Das bedeutet, dass alle Logmeldungen nach einem Host Neustart verloren gehen. Aus diesem Grund gibt es den Syslog Collector Dienst, welcher bei der vCenter Installation (Win) zusätzlich installiert werden kann. Die Konfiguration auf habe ich in einem früheren Blogeintrag geschildert. Dieser empfängt Logeinträge von den ESXi Hosts und speichert sie lokal in rotierenden Logfiles ab.

Der VMware Support bat mich kürzlich, diese Logs für einen ESXi Host bereit zu stellen. Zunächst musste ich das Logverzeichnis auf dem Server mit Syslog Collector finden. Es liegt bei Standard Installationen unter:

%ALLUSERSPROFILE%\VMware\VMware Syslog Collector\Data

Beziehungsweise:

"C:\ProgramData\VMware\VMware Syslog Collector\Data"

Dort hat jeder überwachte ESXi Host ein Verzeichnis mit der jeweiligen IP des Hosts. Das Verzeichnis war schnell gefunden, jedoch staunte ich nicht schlecht, als ich den Zeitstempel der Logs sah.

syslogTrouble01

Seit über zwei Jahen gab es keinen Logeintrag mehr! Wie kann das sein?

Firewall

Auf dem Syslog Collector sah alles gut aus und der Dienst war aktiv. Danach warf ich einen Blick auf die ESX Firewall (Host > Configuration > Security Profile > Firewall > Settings). Damit wurde die Ursache schnell klar. (Thanks to Ivo Beerens, whose article gave me a hint to the solution)

syslogTrouble02Die Firewall des ESXi blockierte Verbindungen über UDP 514. Kein Kontakt – keine Logs – so einfach. 🙂

Der Haken bei syslog muss unbedingt gesetzt sein.

syslogTrouble03Schon wenige Augenblicke nach Übernahme der Regel füllte sich das Logverzeichnis auf dem Syslog Collector mit neuen Einträgen.

syslogTrouble04

Das half zwar nicht bei der Lösung einer anderen Fragestellung mit dem VMware Support, jedoch können in Zukunft die Logs ausgelesen werden.

Links

Ivo Beerens Blog – vSphere Syslog Collector troubleshooting

 

Veeam Backup Logfiles

Veeam Backup speichert neben der normalen Backup-History noch ein detailliertes Logfile zu jedem Job. Dieses findet sich bei Windows 2008 R2 unter folgendem Pfad:

%allusersprofile%\Veeam\Backup

Die Navigation durch den Dateibaum ist oft nicht möglich, da hierzu gelegentlich Rechte fehlen. Gibt man aber den Pfad wie oben dargestellt im Datei-Explorer ein, so kann man auf die Logs zugreifen.


Robocopy: nur Fehler protokollieren

Robocopy ist unbestritten ein hervorragendes Tool zum Kopieren von Daten. Das Robocopy Logfile kann aber je nach Datenmenge sehr groß und unhandlich werden. Interessant ist dabei meist nur eine Liste der Fehler, denn dort muss vor dem nächsten Transfer nachgebessert werden.

Nur das Wesentliche

Dazu müssen dem Kopierbefehl folgende Parameter hinzugefügt werden:

/V /NDL /NFL

Die Parameter bedeuten übersetzt:

/V : Verbose output

/NFL : no file list

/NDL : no directory list

Dateireplikationsdienst neu starten

Gelegentlich bringt ein Domaincontroller einen Fehler im Ereignisprotokoll unter Dateireplikationsdienst (NT File Replication Service NTFRS).

Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für c:\winnt\sysvol\<DOMAIN> mit DNS-Namen DC2.domain.com nicht aktivieren. Es wird ein neuer Versuch gestartet.

Das Protokoll auf der Gegenseite zeigt jedoch keinerlei Probleme mit dem Dateireplikationsdienst. Oft ist diese Meldung ein Artefakt oder Hinweis auf eine Störung in der Vergangenheit, die aber aktuell nicht mehr besteht.

Zur Klärung ist es nicht notwendig, den Domaincontroller neu zu starten. Oft genügt es, den Dateireplikationsdienst neu zu starten.

net stop ntfrs

Nach erfolgreicher Beendigung des Dienstes wird dieser neu gestartet.

net start ntfrs

Wenn wirklich kein Problem mehr besteht, dann findet man im Ereignisprotokoll den Event 13516.

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Links:

Microsoft TechNet zum Fehler 13508