Dieser Monitor mit Warnung weist darauf hin, dass die ACS-Sammlung eine Lücke im eingehenden Ereignisdatenstrom von einer ACS-Weiterleitung festgestellt hat. Dies bedeutet, dass Ereignisse fehlen könnten, da das Ereignisprotokoll überschrieben oder von einem anderen Benutzer auf dem verwalteten Computer gelöscht wurde.
Die Warnung wird ausgegeben, wenn die Regel folgendes Ereignis feststellt: Quelle = AdtServer, ID = 4635.
Die Warnung kann auf folgende Vorgänge auf dem Agent hinweisen:
Jemand löschte das Ereignisprotokoll, als die Weiterleitung die Verbindung mit der Sammlung verlor.
Das Ereignisprotokoll wurde teilweise überschrieben, als die Weiterleitung die Verbindung mit der Sammlung verlor.
Führen Sie den Bericht "Systemintegrität – Überwachungsprotokoll gelöscht" aus, um festzustellen, ob das Sicherheitsprotokoll von einem anderen Benutzer gelöscht wurde.
Stellen Sie sicher, dass die Größe des Sicherheitsprotokolls ausreicht, um die Ereignisse einer routinemäßigen Systemwartung oder herkömmlicher Diagnosevorgänge zur Fehlerbehebung aufnehmen zu können.
Target | Microsoft.SystemCenter.ACS.Collector | ||
Category | Alert | ||
Enabled | True | ||
Event_ID | 4635 | ||
Event Source | AdtServer | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Operations Manager |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Operations Manager</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4635</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
</Suppression>
<Custom1>$Data/Params/Param[1]$</Custom1>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>