Se ha detectado un intervalo de secuencias de eventos del recopilador de servicios de recopilación de auditorías de Microsoft

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Resumen

Este monitor y esta alerta indican que el recopilador de ACS ha detectado un intervalo en la secuencia de eventos entrante procedente del reenviador de ACS. Esto significa que es posible que falten algunos eventos debido al ajuste del registro de eventos o a que alguien haya borrado el registro de eventos del equipo administrado.

Esta alerta se emite cuando la regla detecta el evento: Origen = AdtServer e Id. = 4635.

Causas

La alerta puede indicar que en el agente está pasando lo siguiente:

Alguien borró el registro de eventos cuando el reenviador perdió la conexión con el recopilador
Se ajustó el registro de eventos cuando el reenviador perdió la conexión con el recopilador

Resoluciones

Ejecute el informe "Integridad del sistema - Registro de auditoría borrado" para ver si alguien ha borrado el registro de seguridad.
Asegúrese de que el tamaño del registro de seguridad sea lo suficientemente grande para que los eventos de la cola puedan soportar un proceso rutinario de mantenimiento del sistema o la duración típica de solución de problemas.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Se ha detectado un intervalo de secuencias de eventos del recopilador de servicios de recopilación de auditorías de Microsoft

El recopilador de servicios de recopilación de auditorías de Microsoft detectó un intervalo en la secuencia de eventos del reenviador {0}.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Operations Manager</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">4635</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">AdtServer</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

      </Suppression>

      <Custom1>$Data/Params/Param[1]$</Custom1>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>