{"id":282216,"date":"2023-06-07T00:02:00","date_gmt":"2023-06-06T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282216"},"modified":"2024-03-26T20:15:10","modified_gmt":"2024-03-26T19:15:10","slug":"windows-temp-ordner-wird-mit-computername-yyymmdd-hhmm-log-dateien-geflutet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/07\/windows-temp-ordner-wird-mit-computername-yyymmdd-hhmm-log-dateien-geflutet\/","title":{"rendered":"Windows Temp-Ordner wird mit "Computername-yyyMMdd-hhmm.log" Dateien geflutet"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein Problem, welches in Windows schlummert: Ein Blog-Leser wies mich darauf hin, dass neben den von mir k\u00fcrzlich thematisierten Aria-debug-xxx.log<\/em>-Files bei manchen Maschinen der TEMP-Ordner mit weiteren Protokolldateien geflutet wird. Diese werden nach dem Schema Computername-yyyMMdd-hhmm.log<\/em> benannt. Meinen Recherchen nach d\u00fcrfte der Office Click-to-Run-Dienst an der Erzeugung dieser unsinnigen Protokolldateien beteiligt sein.<\/p>\n

<\/p>\n

Eine Leserr\u00fcckmeldung<\/h2>\n

\"\"Ich hatte Ende Mai 2023 im Blog-Beitrag Windows-Temp-Ordner werden mit Aria-debug-xxx.log-Files geflutet<\/a> berichtet, dass einem Benutzer aufgefallen war, dass sein Windows Temp-Ordner mit mehrere GByte-gro\u00dfen log-Dateien mit dem Namen Aria-debug-xxx<\/em> geflutet wird. Es kann auch den TEMP-Ordner im Profil des Benutzers betreffen, wie ich hier<\/a> gelesen habe. Auf Grund des Artikel hat sich Mark Heitbrink bei mir per Mail gemeldet und schrieb:<\/p>\n

Hi,<\/p><\/blockquote>\n

zus\u00e4tzlich zu den Aria* Dateien k\u00f6nnte ich noch Dateien nach dem Schema \"Computername-yyyMMdd-hhmm.log\" mit 56KB anbieten. Manchmal etwas gr\u00f6\u00dfer, selten kleiner.<\/p>\n

Es werden 25-35 Dateien pro Tag erzeugt und die erste schon direkt mach dem Start. In den ersten 5 Minuten ca 4 St\u00fcck, dann alle 30-45 Minuten (ungef\u00e4hr)<\/p>\n

Genau genommen ist es ein json
\nName: Office.Telemetry.DynamicConfig.ParseJsonConfig<\/p>\n

Weist du welcher Task das macht?<\/p><\/blockquote>\n

Nachfolgenden Screenshot eines Ordners mit diesen .log-Dateien habe ich im Internet gefunden und zur Erl\u00e4uterung hier im Blog eingebunden.<\/p>\n

\".log-Dateien
\n.log-Dateien im Temp-Ordner, Quelle: Technet-Forum<\/a><\/p>\n

Adhoc konnte ich mit dieser Information nichts anfangen, denn diese Dateien waren mir noch nicht untergekommen. Ich habe dann aber mal etwas im Internet recherchiert.<\/p>\n

Viele Treffer im Internet<\/h2>\n

Bei einer Suche im Internet trifft man auf einige Fundstellen, die diese log-Dateien im Windows Temp-Ordner ansprechen. Auf SuperUser.com habe ich diesen 7 Jahre alten Beitrag<\/a> gefunden, wo ein Nutzer schreibt:<\/p>\n

I took a look in my c:\\windows\\temp directory and I found lots of file.log files. The names are built with this syntax: Machinename-YYYYMMDD-XXXX.log.<\/p>\n

And I found this:<\/p>\n

\r\nTimestamp   Process TID Area    Category    EventID Level   Message Correlation\r\n01\/30\/2016 12:43:10.754 OFFICEC2 (0xde8)    0xb6c       Click-To-Run Telemetry  aqkhc   Medium  {\"MachineID\":\"a3c8037bfedf40479c3023588639eb6d\",\"SessionID\":\"b292f44b-e5a6-41c3-a68e-000582c1e920\",\"GeoID\":\"84\",\"Ver\":\"0.0.0.0\",\"ExeVer\":\"15.0.4787.1002\",\"SecuritySessionId\":\"0\",\"ModulePath\":\"C:\\Program Files\\Microsoft Office 15\\ClientX64\\OfficeC2RClient.exe\",\"CommandLine\":\"\/update SCHEDULEDTASK displaylevel=False\",\"Bitness\":\"64\",\"IntegrityLevel\":\"0x4000\"}  \r\n01\/30\/2016 12:43:10.754 OFFICEC2 (0xde8)    0xb6c       Click-To-Run Telemetry  aqkhe   Medium  {\"MachineID\":\"a3c8037bfedf40479c3023588639eb6d\",\"SessionID\":\"b292f44b-e5a6-41c3-a68e-000582c1e920\",\"GeoID\":\"84\",\"Ver\":\"0.0.0.0\",\"OSVersion\":\"6.2\",\"SP\":\"0\",\"ProductType\":\"1\",\"ProcessorArch\":\"9\",\"Locale\":\"1036\"}   \r\n01\/30\/2016 12:43:10.770 OFFICEC2 (0xde8)    0xb6c       Click-To-Run Telemetry  amebh   Medium  ClientExe complete. {\"MachineID\":\"a3c8037bfedf40479c3023588639eb6d\",\"SessionID\":\"b292f44b-e5a6-41c3-a68e-000582c1e920\",\"GeoID\":\"84\",\"Ver\":\"15.0.4787.1002\",\"Action\":\"1\",\"Result\":\"0\"}   \r\n01\/30\/2016 12:43:10.770 OFFICEC2 (0xde8)    0xb6c       Logging Liblet  aqc99   Medium  Logging liblet uninitializing.  \r\n<\/code><\/pre>\n
Most of the files are this long but some are much longer. All the logs turn around OFFICE2. Could those logs files come from a malicious program?<\/p><\/blockquote>\n
Der Nutzer hat also den gleichen Fall wie Mark beschreibt. Der obige Protokollausriss deutet bereits an, dass es irgendwie mit der Telemetrie des Office Click-to-Run-Diensts zu tun hat. Auch im Technet-Forum findet sich dieser Thread<\/a> aus 2017, wo jemand den Effekt beschreibt. Dort hat jemand die folgende Information hinterlassen:<\/p>\n
Based on my deep research, The Microsoft Office ClickToRun Service (ClickToRunSvc) helps manage resource coordination, background streaming, and system integration of Microsoft Office products. As far as I know, this service is required to run during the use of any Microsoft Office program, so you cannot just stop it permanently.<\/p><\/blockquote>\n
Es wird best\u00e4tigt, dass es der Microsoft Office ClickToRun Service (ClickToRunSvc) ist, der Office bei der Verwaltung der Ressourcenkoordination, des Hintergrund-Streamings und der Systemintegration von Microsoft Office-Produkten unterst\u00fctzen soll. Stellt man den Dienst ab, werden keine .log-Dateien geschrieben – aber dann funktioniert Office nicht mehr. Der Technet-Forenbeitrag hier<\/a> befasst sich mit diesem Thema.<\/p>\n
Bisher habe ich keine Option gefunden, dieses Logging abzustellen (der Beitrag hier<\/a> beschreibt lediglich, wie man das Protokoll-Level \u00e4ndern kann). In diesem Beitrag<\/a> gibt es ebenfalls noch Hinweise, ob die was bewirken, kann ich aktuell nicht testen.<\/p>\n
Richtlinien helfen nicht<\/h2>\n
Mark Heitbrink hat ebenfalls noch etwas im Web gesucht und ist auf den Support-Beitrag Use policy settings to manage privacy controls for Microsoft 365 Apps for enterprise<\/a> gesto\u00dfen. Dazu schreibt er:<\/p>\n
Die beiden \"ehemaligen\" Richtlinien:<\/p>\n
User Configuration\\Policies\\Administrative Templates\\Microsoft Office 2016\\Tools | Options | General | Service Options
\nOnline Content und Service Level-Options
\n–>\u00a0 Starting with Version 1904, configuring these two existing policy settings will have no effect on Microsoft 365 Apps for enterprise. They are no longer applicable because their functionality is replaced by these new policy settings:<\/p>\n
Allow the use of connected experiences in Office that analyze content
\nAllow the use of connected experiences in Office that download online content
\nAllow the use of additional optional connected experiences in Office
\nAllow the use of connected experiences in Office<\/p>\n
… die habe ich schon per GPO deaktiviert, siehe Screenshot<\/p><\/blockquote>\n
<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/p>\n
Es scheint also nicht zu helfen. Hat jemand von euch eine L\u00f6sung gefunden, um die Protokollierung zu unterbinden.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Noch ein Problem, welches in Windows schlummert: Ein Blog-Leser wies mich darauf hin, dass neben den von mir k\u00fcrzlich thematisierten Aria-debug-xxx.log-Files bei manchen Maschinen der TEMP-Ordner mit weiteren Protokolldateien geflutet wird. Diese werden nach dem Schema Computername-yyyMMdd-hhmm.log benannt. Meinen Recherchen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[24,3288],"class_list":["post-282216","post","type-post","status-publish","format-standard","hentry","category-windows","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282216"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282216\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}