¡Auxilio! ¡Los logs del Exchange están fuera de control!

Lunes, 9 AM. Estás en tu puesto tranquilo revisando los correos que la gente te envió el viernes a última hora. Todo normal hasta que de repente entra en tu buzón un correo parecido a este:

Alerta (media) – Disco de logs DBLOG01 en MBX01 al 80%

Te pones a revisar los tamaños de loz buzones y no ves nada raro. Lanzas un backup de la base de datos intentando truncar los logs y esperas ansiosamente a que finalice.

10 minutos después.

Alerta (importante) – Disco de logs DBLOG01 en MBX01 al 90%

Sigues buscando, no aparece un buzón culpable. Empiezas a ponerte nervioso esperando a que finalce el backup.

5 minutos después.

Alerta (crítica) – Disco de logs DBLOG01 en MBX01 al 95%

Ahora estás sudando, el backup va por el 90%.

5 minutos depués.

Disco al 4% … 3% … 2%… Finaliza el backup y el disco de logs vuelve al 10% para luego seguir creciendo nuevamente. Llega al 50% y de repente deja de crecer. Te quedas más tranquilo, pero te queda por dentro la insatisfacción de no saber que causó el problema.

¿Te ha pasado algo parecido?

A mi sí, varias veces hasta que descubrí ExMon. El Exchange Server User Monitor es una herramienta de Microsoft que te permite ver que recursos del Exchange Information Store (el motor de base de datos) está utilizando cada usuario.

La forma de utilizarlo es muy sencillo:

  1. Descarga e instala el ExMon en un servidor de bases de datos de Exchange. La instalacón es darle a siguiente, básicamente.
  2. Ve a la carpeta de instalación del Exmon (%programfiles(x86)%\Exchange User Monitor) y haz doble clic sobre ExMon.reg, esto agregará al registro las claves que hacen falta para habilitar las trazas.
  3. Crea una carpeta para almacenar las trazas. C:\Temp, por ejemplo.
  4. Crea una definición de traza utilizando logman. Esto se hace ejecutando el siguiente comando: logman create trace Exmon_Trace -p {2EACCEDF-8648-453e-9250-27F0069F71D2} -nb 3 25 -bs 3 -o c:\Temp\

Una vez que tenemos la traza definida podemos ejecutarla cuando queramos para visualizar qué usuarios o buzones son los que está consumiendo recursos. Por ejemplo, continuando con el escenario de arriba, una vez que te llega el aviso de que se están generando muchos logs puedes iniciar la traza con el comando logman start exmon_trace. Esto iniciará la traza e irá almacenando los resultados en un archivo exmon_XXXXXX.etl, donde XXXXX es un correlativo automático que se incrementa cada vez que inicias una traza. Para visualizar los resultados de la traza puedes ejecutar %programfiles(x86)%\Exchange User Monitor\ExMon.exe c:\temp\exmon_XXXXX.etl, esto te abrirá la interfaz gráfica del ExMon:

ExMon

Aquí puedes visualizar todo tipo de datos relacionados con el motor de base de datos de Exchange. En este caso en particular nos interesa la última columna Log Bytes. Si ordenas por esa columna puedes ver cuál es el usuario/buzón en concreto que está generando logs de forma descontrolada. Si cierras el ExMon y lo vuelves a abrir con el comando de arriba puedes ver los datos de la traza actualizados. Si el mismo buzón sigue apareciendo de primero al ordenar por Log Bytes ya tienes tu culpable 🙂

Ahora solo te falta saber POR QUÉ está generando tantos logs. Según mi experiencia:

  • Si está generando logs y el tamaño del buzón está creciendo es porque el usuario está moviendo muchos elementos grandes a su buzón o está recibiendo muchos correos con adjuntos (poco probable).
  • Si está generando logs y el tamaño del buzón no cambia:
    • El OST del Outlook está corrupto.
    • El usuario tiene un dispositivo con ActiveSync que no está funcionando bien. Ver el caso de iOS 6.1.

Para finalizar, no te olvides de parar la traza cuando termines de hacer el troubleshooting: logman stop exmon_trace

PD: el ExMon también se puede abrir ejecutando el programa desde la carpeta de instalación, esto te crea automaticamente una traza que se elimina al cerrar el programa sin tener que pasar por el LogMan. El problema es que la interfaz gráfica se cuelga tan frecuentemente que para mi no es útil.

Referencia

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.