Microsoft Überwachungssammeldienste: Ermittlung einer Lücke im Ereignisstrom - Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule) (DEU)

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Zusammenfassung

Dieser Monitor mit Warnung weist darauf hin, dass die ACS-Sammlung eine Lücke im eingehenden Ereignisdatenstrom von einer ACS-Weiterleitung festgestellt hat. Dies bedeutet, dass Ereignisse fehlen könnten, da das Ereignisprotokoll überschrieben oder von einem anderen Benutzer auf dem verwalteten Computer gelöscht wurde.

Die Warnung wird ausgegeben, wenn die Regel folgendes Ereignis feststellt: Quelle = AdtServer, ID = 4635.

Ursachen

Die Warnung kann auf folgende Vorgänge auf dem Agent hinweisen:

Jemand löschte das Ereignisprotokoll, als die Weiterleitung die Verbindung mit der Sammlung verlor.
Das Ereignisprotokoll wurde teilweise überschrieben, als die Weiterleitung die Verbindung mit der Sammlung verlor.

Lösungen

Führen Sie den Bericht "Systemintegrität – Überwachungsprotokoll gelöscht" aus, um festzustellen, ob das Sicherheitsprotokoll von einem anderen Benutzer gelöscht wurde.
Stellen Sie sicher, dass die Größe des Sicherheitsprotokolls ausreicht, um die Ereignisse einer routinemäßigen Systemwartung oder herkömmlicher Diagnosevorgänge zur Fehlerbehebung aufnehmen zu können.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Microsoft Überwachungssammeldienste: Ermittlung einer Lücke im Ereignisstrom

Die Microsoft Überwachungssammeldienste haben eine Lücke im Ereignisstrom aus der Weiterleitung {0} ermittelt.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.EventProvider

Default

Alert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Operations Manager</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">4635</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">AdtServer</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertName/> <AlertDescription/> <AlertOwner/> <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue> <SuppressionValue>$Data/PublisherName$</SuppressionValue> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue> </Suppression> <Custom1>$Data/Params/Param[1]$</Custom1> <Custom2/> <Custom3/> <Custom4/> <Custom5/> <Custom6/> <Custom7/> <Custom8/> <Custom9/> <Custom10/> </WriteAction> </WriteActions> </Rule>