In Windows Server 2012 kann der Server Manager viel Speicher benutzen, wenn sehr viele Ereignisse abgefragt werden

  • Article

In bestimmten Windows Server 2012 Umgebungen kann es dazu kommen, dass der Server Manager Prozess ServerManager.exe sehr viel Speicher (mehrere GB) benutzt und anbhängend von der RAM Größe den ganzen verfügbaren Speicher verwendet.

 

Eine mögliche Ursache ist die Anzahl der Event Einträge, die vom ServerManager abgefragt werden.

Da der ServerManager in Windows Server 2012 verschiedene event types aus verschiedenen EventLogs von verschiedenen Server abfrägt, kann die Analyse etwas komplexer werden.

 

Sollten Sie ein gleiches Verhalten erkennen (ServerManager.exe benutzt sehr viel Speicher), würde ich folgende Problemeingrenzung vorschlagen:

 

1.       Eingrenzung: von welchen Server warden Events abgefragt?

Was für andere Server warden über den Server Manager überwacht?

Wenn man diese entfert, erkennt man den gleichen Speicherverbrauch bei einem Neustart des Server Managers?

Referenz: in einer Cluster Umgebung werden alle Clusterknoten hinzugefügt und diese können nicht entfernt werden.

2.       Eingrenzung: aus welchen Eventlogs warden Events abgefragt?

Jede Ansicht der Events kann verschieden sein und bringt Ereigniseinträge von verschiedenen Eventlogs.

EVENTS : TASKS > Configure Data

Das muss aber für die verschiedenen Ansichten geprüft werden:

-         Local Server > Events          bringt Informationen aus Application, Setup, System und abhängend von der Einstellung durch den Administrator möglicher Weise auch aus anderen Eventlogs.

-         File and Storage Services > Servers:Events          bringt die Events aus dem FailoverClustering-Diagnsotic Eventlog.

Die Ereignisanzeige in dem Server Manager ist per Server durch den Administrator definiert und es gibt noch die per Rolle Ereignisse.

 

3.       Eingrenzung: was für Events warden abgefragt und für welchen Zeitabschnitt?

EVENTS : TASKS > Configure Event Data

   

               
Um durch diese Einstellung der Abfrage extrem viele Ereignisse zu erhalten, müssten wir in den definierten Multiple Eventlogs während den letzten 24 Stunden extreme viele Critical, Error und Warning Event Einträge haben.

               

 

Nach der beschriebenen Eingrenzung sollten wir ein genaueres Bild haben und wissen, welche Even Typen, für welchen Zeitabschnitt, aus welchem Eventlog und von welchen Server abgefragt werden.

Wenn einer dieser Eventlogs sehr viele Events leifert, kann es dazu kommen, dass der Server Manager sehr viel Speicher benutzt.

 

Wenn der entsprechende Eventlog noch nicht identifiziert wurde, könnte man die Abfragen progressiv abschalten, um den Eventlog zu identifizieren:

  • Per Event Anzeige nur Critical Events abfragen and den Server Manager neu starten (oder einen kleineres Zeitabschnitt auswählen)

  • Wenn der Speicherverbrauch wesentlich kleiner wird, hat man die Event Anzeige aus dem Server Manager identifiziert. Danach könnte man die anderen Event Anzeigen zurück auf den defaults setzten.

Der Eventlog aus eventvwr.msc, der dieser Anzeige entspricht, müsste dann einfach zum Identifizieren und Verifizieren sein.

 

WAS KÖNNEN WIR TUN?

Wir können die Anzahl der Events, die abgefragt werden,
durch verschiedene Methoden kontrollieren:

  1. Empfohlen:  die Fehler/Warnung Ereignisse analysieren und beheben.
  2. Die Ereignisse per Severity (Critical, Error, Warning, Informational) eingrenzen.
  3. Zeitabschnitt eingrenzen

 

 

Referenz

Wenn man sich die maximale Größe der Eventlogs anschaut, sind die meisten limitiert auf 1MB, andere wzB der System und Application Eventlogs auf 20 MB und hiermit kann es schwer zu der beschriebenen Situation kommen, weil diese nicht so viele Events speichern können, um den ServerManager.exe auf mehrere GB Speichernutzung zu bringen.

Der FailoverClustering-Diagnostic Log hat jedoch eine Limit von 300 MB und dieser kann zahlreiche Events speichern. Wenn extreme viele Fehler- oder Warnungevents während den letzten 24 Stunden geloggt wurden, könnten Sie das beschriebene Szenario erkennen – dieser war der Fall den ich analysiert habe.

 

Eine schnelle Eingrenzung wäre auch unter C:\Windows\System32\winevt\Logs zu schauen und nach Log Größe zu sortieren. So würden Sie die größten Logs schnell identifizieren. Die Frage stellt sich dann natürlich, ob der entsprechende Log vom Server Manager abgefragt wird und welche Event Typen aus dem Log abgefragt werden.

 

Ich hoffe, dass dieser Artikel weiter geholfen hat.

Viele Grüße,

Oni Sandru