#1 Inventarisierung erzeugt Eventlog Einträge von Carsten Heuer 07.07.2016 14:52

Hallo,
Inventarisierungsläufe erzeugen bei uns auf allen Systemen einen Haufen Einträge
im Eventlog:
Ereignis-ID 1035, Quelle: MsiInstaller: "Das Produkt wurde durch Windows Installer neu konfiguriert", dabei
wird jedes noch so kleine Stück Software aufgelistet hunderte Einträge erzeugt.
Zeitlich konnte ich das an der DX-Union Inventarisierung festmachen.

Bei meiner Recherche stiess ich auf einen Artikel von Microsoft:
KB974524

Laut dem Artikel kann das verursacht werden durch ein Programm, welches Win32_Product abfragt:

"Win32_product Class is not query optimized. Queries such as “select * from Win32_Product where (name like 'Sniffer%')” require WMI to use the MSI provider to enumerate all of the installed products and then parse the full list sequentially to handle the “where” clause. This process also initiates a consistency check of packages installed, verifying and repairing the install."

Anstatt einer einfachen Abfrage, wird durch diese Klasse also eine Prüfung und Neuinstallation ausgelöst, welches unsere Eventlogs vollspammt.
Als Alternative wird in diesem Artikel die Verwendung von Win32reg_AddRemovePrograms vorgeschlagen, welches effizienter sein soll und auch die Konsistenzprüfung auslässt.

Gibt es zu dieser Problematik bereits Erkenntnisse, hat das schon mal jemand gesehen und wie und wo kann ich auf Win32reg_AddRemovePrograms umstellen?

Grüsse aus dem windigen Hamburg

#2 RE: Inventarisierung erzeugt Eventlog Einträge von Andreas 07.07.2016 15:15

avatar

Hallo Herr Heuer,

ich werde das am sinnvollsten mal an unserer Entwicklung weitergeben.
Sie hören / lesen von uns, sobald ich dazu eine Aussage treffen kann.

#3 RE: Inventarisierung erzeugt Eventlog Einträge von Carsten Heuer 08.07.2016 07:48

Ich habe Win32_Product aus dem Fragebogen entfernt und schon ist Ruhe im Eventlog. Microsoft macht manchmal echt drollige Sachen.

#4 RE: Inventarisierung erzeugt Eventlog Einträge von André 02.09.2016 15:05

Frage dazu: wird durch das Entfernen von Win32_Product auch das Ergebnis der Inventarisierung beeinträchtigt? Ich würde das so verstehen, dass dadurch die MSI installierte Software nicht mehr gescannt wird, oder?

#5 RE: Inventarisierung erzeugt Eventlog Einträge von Andreas 02.09.2016 15:35

avatar

Hallo André,

ja, das ist richtig.
Die Entwicklung schaut sich das derzeit an.

#6 RE: Inventarisierung erzeugt Eventlog Einträge von Carsten Heuer 02.11.2016 08:04

Hallo!
Gibt es hierzu schon weitergehende Erkenntnisse?

#7 RE: Inventarisierung erzeugt Eventlog Einträge von Andreas 02.11.2016 09:30

avatar

Hallo Herr Heuer,

leider noch nicht, da derzeit der Focus eher auf die bevorstehende Freigabe der DX-Union Version 7.3.7 liegt.
Da es sich auch um kein systemkritisches Problem oder einen schwerwiegenden Bug handelt, wurde das auch nicht so hoch priorisiert.
Ich habe das Thema aber noch mal gepushed.

#8 RE: Inventarisierung erzeugt Eventlog Einträge von Andreas 10.11.2016 09:53

avatar

Hallo zusammen,

das Ergebnis der Analyse lautet wie folgt:

Die Ursache für die unerwünschten Windows Eventlog-Einträge liegt in einem MSI Integritätscheck, der bei jedem Zugriff auf die WMI Klasse Win32_Product durch den MSI Installer ausgelöst wird und sein Ergebnis für jedes gefundenes Softwareprodukt in das Eventlog schreibt. Das lässt sich leider wohl auch nicht 'ausschalten'.
Dieses Verhalten macht sich neben den Eventlog Einträgen auch durch eine verhältnismäßig lange Dauer der Abfrage bemerkbar.
Microsoft empfiehlt stattdessen auf die WMI Klasse Win32reg_AddRemovePrograms auszuweichen. Leider ist diese WMI Klasse jedoch nicht Bestandteil der Windows Betriebssysteme, sondern wird durch den Microsoft SMS Client installiert.
Eine interne Umstellung der WMI Klasse Win32_Product auf die WMI Klasse Win32Reg_AddRemovePrograms im DX-Union Asset Assistant ist mit einem unverhältnismäßigem Aufwand verbunden und daher derzeit nicht geplant.

Eine konfiguratorische Lösung zur Umgehung des Problems wird in folgendem Beitrag beschrieben:

Umstellung von Win32_product auf win32reg_AddRemovePrograms

Xobor Ein eigenes Forum erstellen
Datenschutz