Ez a figyelő és riasztás azt jelzi, hogy az ACS gyűjtő kimaradást észlelt az ACS továbbítótól érkező eseményáramlásban. Ez azt jelenti, hogy néhány esemény esetleg hiányzik az eseménynaplózás megtörése miatt, vagy mert valaki törölte az eseménynaplót a felügyelt számítógépen.
Ez a riasztás akkor keletkezik, amikor a szabály ilyen eseményt észlel: Forrás = AdtServer, azonosító = 4635
A riasztás azt jelezheti, hogy a következők valamelyike történt az ügynöknél:
Valaki törölte az eseménynaplót, amikor a továbbító elvesztette a kapcsolatot a gyűjtővel.
Az eseménynapló megszakadt, amikor a továbbító elvesztette a kapcsolatot a gyűjtővel.
Futtassa a „Rendszer sértetlensége - törölt napló” jelentést annak megállapítására, hogy törölte-e valaki a biztonsági naplót.
Győződjön meg róla, hogy elég nagy-e a biztonsági napló mérete ahhoz, hogy rutinszerű rendszerkarbantartás esetén vagy egy hibakeresés tipikus időtartamára várósorba tudja állítani az eseményeket.
Target | Microsoft.SystemCenter.ACS.Collector | ||
Category | Alert | ||
Enabled | True | ||
Event_ID | 4635 | ||
Event Source | AdtServer | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Operations Manager |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Operations Manager</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4635</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
</Suppression>
<Custom1>$Data/Params/Param[1]$</Custom1>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>