Nachdem ich mich im letzten Blogeintrag schon über die Teredo-Eintragungen in der Eventlog gewundert hatte https://newyear2006.wordpress.com/2013/08/21/microsoft-hyper-v-server-2012-telefoniert-nach-hause-oder-warum-tauchen-auf-einmal-teredo-eintrge-in-der-log-datei-auf/, geht es nun gerade so weiter.
Bei den Application-Eventlogs gab es jede Menge Informationseinträge, hier exemplarisch einer davon:
EventID : 327
MachineName : HyperV
Data : {}
Index : 7586
Category : General
CategoryNumber : 1
EntryType : Information
Message : wmiprvse (3496) The database engine detached a database (1, C:\Windows\system32\LogFiles\Sum\SystemIdentity.mdb). (Time=0 seconds)Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.016,
[11] 0.000, [12] 0.000.
Revived Cache: 0
Source : ESENT
ReplacementStrings : {wmiprvse, 3496, , 1…}
InstanceId : 327
TimeGenerated : 21.08.2013 17:55:54
TimeWritten : 21.08.2013 17:55:54
UserName :
Site :
Container :
Innerhalb einer Sekunde finden sich mehrere Einträge wo einmal die SystemIdentity.mdb attached und anschließend wieder detached wird. Mal abgesehen davon, dass die Eventlog dadurch unübersichtlich wird:
7486 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7485 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7484 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7483 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7482 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7481 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7480 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7479 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7478 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7477 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7476 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7475 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7474 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7473 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7472 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7471 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7470 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7469 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7468 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7467 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7466 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7465 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7464 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7463 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7462 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7461 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7460 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7459 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7458 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7457 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7456 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7455 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7454 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7453 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7452 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7451 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7450 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7449 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7448 Aug 21 11:13 Information ESENT 327 svchost (1696) The database engine detached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
7447 Aug 21 11:13 Information ESENT 326 svchost (1696) The database engine attached a database (2, C:\Windows\system32\LogFiles\Sum\SystemIdentity….
Stellt sich die Frage was steckt dahinter?
Bei der Suche nach SystemIdentity.mdb landet man dann irgendwann bei “User Access Logging” oder zu Deutsch “Benutzerzugriffsprotokollierung” http://technet.microsoft.com/en-us/library/hh849634.aspx. Mittels UAL lassen sich jede Menge Daten über den Rechner, Benutzer, Dienste, Rollen usw. sammeln und auswerten. Die NSA und Forensiker haben ihre helle Freude daran. Aber muss so ein Dienst auf einem Microsoft Hyper-V Server laufen? Ich denke nicht! Microsoft selber warnt sogar davor mit diesem Hinweis:
 Important |
|---|
| UAL is not recommended for use on servers that are connected directly to the Internet, such as web servers on an Internet-accessible address space, or in scenarios where extremely high performance is the primary function of the server (such as in HPC workload environments). UAL is primarily intended for small, medium, and enterprise intranet scenarios where high volume is expected, but not as high as many deployments of Windows Server 2012 that serve Internet-facing traffic volume on a regular basis.
|
Da ich einen Hyper-V Server als performancekritisch ansehe, sollte man also den Dienst abschalten. Dies erreicht man durch:
net stop ualsvc
netsh ualsvc set opmode mode=disable
oder per Powershell mittels:
Stop-Service ualsvc
Disable-Ual
Interessant bei dieser Geschichte ist mal wieder die geniale Namensgebung des Dienstes auf Deutsch: “Dienst für Benutzerzugriffsprotokollierung”. Das ist mal wieder so ein richtig beknackter Name, der mit Dienst anfängt, wo man nie draufkommt, ähnlich wie “Automatische Drahtlos…”. Pfeifen halt.
http://technet.microsoft.com/en-us/library/jj574126 beschreibt noch jede Menge Dinge, wie: was passiert, wenn der Dienst Probleme hat oder welche Powershell CmdLets für die Abfrage der Daten verfügbar sind. Es wird auch noch die Bedeutung des Verzeichnis \Windows\System32\Logfiles\SUM\ beschrieben und dass dieses auch gelöscht werden könnte.
Das nie endende Chaos! 