Microsoft naplózási szolgáltatások gyűjtője – eseményáramlási kimaradás észlelhető - Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule) (HUN)

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Összegzés

Ez a figyelő és riasztás azt jelzi, hogy az ACS gyűjtő kimaradást észlelt az ACS továbbítótól érkező eseményáramlásban. Ez azt jelenti, hogy néhány esemény esetleg hiányzik az eseménynaplózás megtörése miatt, vagy mert valaki törölte az eseménynaplót a felügyelt számítógépen.

Ez a riasztás akkor keletkezik, amikor a szabály ilyen eseményt észlel: Forrás = AdtServer, azonosító = 4635

Okok

A riasztás azt jelezheti, hogy a következők valamelyike történt az ügynöknél:

Valaki törölte az eseménynaplót, amikor a továbbító elvesztette a kapcsolatot a gyűjtővel.
Az eseménynapló megszakadt, amikor a továbbító elvesztette a kapcsolatot a gyűjtővel.

Megoldások

Futtassa a „Rendszer sértetlensége - törölt napló” jelentést annak megállapítására, hogy törölte-e valaki a biztonsági naplót.
Győződjön meg róla, hogy elég nagy-e a biztonsági napló mérete ahhoz, hogy rutinszerű rendszerkarbantartás esetén vagy egy hibakeresés tipikus időtartamára várósorba tudja állítani az eseményeket.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Microsoft naplózási szolgáltatások gyűjtője – eseményáramlási kimaradás észlelhető

A Microsoft naplózási szolgáltatások gyűjtője a(z) {0} továbbítótól eseményáramlási kimaradást észlelt.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.EventProvider

Default

Alert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Operations Manager</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">4635</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">AdtServer</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertName/> <AlertDescription/> <AlertOwner/> <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue> <SuppressionValue>$Data/PublisherName$</SuppressionValue> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue> </Suppression> <Custom1>$Data/Params/Param[1]$</Custom1> <Custom2/> <Custom3/> <Custom4/> <Custom5/> <Custom6/> <Custom7/> <Custom8/> <Custom9/> <Custom10/> </WriteAction> </WriteActions> </Rule>