Werken met Sharepoint Unified Logging System (ULS)

mpriem — Sat, 18 Oct 2008 17:18:00 GMT

Iedereen die met Sharepoint gewerkt heeft vanuit een infrastructuur oogpunt, weet dat de ULS logs van Sharepoint erg omvangrijk kunnen zijn. Vooral als bepaalde categorien op verbose gezet zijn. Deze post gaat over hoe je het voor jezelf makkelijker kan maken om met de logs te werken.

Om gemakkelijker verbose logs te verzamelen doe je het volgende:

· Draai het volgende commando:
stsadm -o setlogginglevel -tracelevel verbose

· Restart de Windows SharePoint Services Tracing service (dit maakt een nieuwe logfile aan in de 12 hive).

· Reproduceer het probleem.

· Draai het volgende commando:
stsadm –o setlogginglevel –default

· Restart de Windows Sharepoint Services TRacing service.

Op dit moment heb je een enkele (hopelijk kleinere) logfile in de logging directory in 12 hive.

Er zijn op dit moment geen makkelijke tools van Microsoft om sharepoint logs te analyseren, maar verschillende klanten gebruiken tools als:

Log Viewer at Codeplex: http://www.codeplex.com/features/Release/ProjectReleases.aspx?ReleaseId=2502

Log Parser 2.2: http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

Sharepoint ULS Log Parser: http://www.codeplex.com/ShrptNinjaToolkit/Release/ProjectReleases.aspx?ReleaseId=15669

Sharepoint logging spy: http://www.codeplex.com/sharepointloggingspy

Sharepoint Logging spy vind ik persoonlijk een erg complete tool, welke je ook in staat stelt logs van meerdere servers te consolideren en te doorzoeken.

Logparser en Windows 2008 eventlogs

mpriem — Wed, 17 Sep 2008 22:06:00 GMT

Logparser is een geweldige tool om van allerlei soorten logs te parsen. Een van de meestgebruikte logs die ik vaak parse met logparser zijn de eventlogs. In Windows Server 2008 zijn er echter wat extra type logs bijgekomen en logparser is nog niet herschreven om hier mee om te gaan. Logparser zoek namelijk in de query string naar keywords als Application of System, maar kan met logs als "Internet Explorer" of "Kernel-Power" uit de Applications and Services sectie van de eventviewer nog niet omgaan.

Nu is er uiteraard een workarround...

Je kan namelijk het pad naar de fysieke bestanden opgeven en deze als file parsen. Dit gaat als volgt:

logparser.exe -i:EVT "Select Count(*) from c:\windows\system32\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx

Nu is er echter een probleem met 64 bits versies van de OSen... Deze gebruikt namelijk een 'File System Redirector for WOW64' feature die bepaalde filesystem en registry calls afvangt en redirect naar andere folders op het filesysteem. Dit zit logparser in de weg, waardoor deze het pad nooit kan vinden. Hier is echter een oplossing voor. Daar moet je het volgende voor gebruiken:

logparser.exe -i:EVT "Select Count(*) from c:\windows\sysnative\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx

Meer over SysNative: http://msdn.microsoft.com/en-us/library/aa384187(VS.85).aspx

Enjoy!!!!

Just do I(nformation)T(echnology) : Logs

Werken met Sharepoint Unified Logging System (ULS)

Logparser en Windows 2008 eventlogs