EventLog remote einsammeln per WMI verursacht quota violation Fehler

Wir bekommen sehr häufig den Fehler "quota violation" wenn wir über remote WMI versuchen EventLog Einträge zu sammeln. Hierfür gibt es auch einen Microsoft Support Beitrag, der allerdings für uns keine Lösung brachte. Selbst der dort vorhandene Hotfix brachte keine Verbesserung.

Wir hatten sogar einen Microsoft Call aufgemacht, bekommen aber nur den Workaround vorgeschlagen: Limitieren Sie die Datenmenge indem sie per WHERE Klausel die Datenmenge einschränken. Jetzt gehen wir doch schon so vor, dass wir EventLogs nur tagesweise per WMI anfordern, doch die Datenmenge ist immer noch zu groß.

Leider ist es auch nicht möglich vorher abzufragen wie viele Ereigniseinträge denn die Abfrage holen würde, ein Count(*) ist für diese Abfrage nicht zulässig. Eine andere Möglichkeit die Datenmenge vorab zu ermitteln ist mir nicht bekannt.

Jetzt bauen wir den Sammler so um, dass er in einer Schleife die Ereignisse in konfigurierbaren Zeitintervallen aufteilt und abfragt. Wir hoffen, dass wir das Intervall so klein wählen, dass die Datenmenge nicht überschritten wird.

TIPP: Also kann ich allen, die per WMI Ereignisprotokolle auslesen nur raten:
Baut schon von vornherein solch eine Möglichkeit ein, dass ihr die Ereignisse mit Zeitintervallen einteilen lassen könnt und holt Euch die Daten Häppchenweise.