Gat in stroom gebeurtenissen gedetecteerd door Microsoft Audit Collection Services-collector - Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule) (NLD)

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Samenvatting

Met deze monitor en waarschuwing wordt aangegeven dat de ACS-collector een gat in de stroom inkomende gebeurtenissen van een ACS-doorstuurserver heeft gedetecteerd. Dit betekent dat bepaalde gebeurtenissen kunnen ontbreken vanwege terugloop in het gebeurtenislogboek of omdat iemand het gebeurtenislogboek op de beheerde computer heeft gewist.

De waarschuwing wordt gegenereerd wanneer de regel de volgende gebeurtenis detecteert: Bron = AdtServer en id = 4635.

Oorzaken

De waarschuwing geeft aan dat op de agent mogelijk het volgende gebeurt:

Iemand heeft het logboek gewist toen de doorstuurserver de verbinding met de collector verloor
Terugloop werd ingeschakeld voor het gebeurtenislogboek toen de doorstuurserver de verbinding met de collector verloor

Oplossingen

Voer het rapport System Integrity - Audit Log Cleared uit om te controleren of iemand het beveiligingslogboek heeft gewist.
Zorg ervoor dat het beveiligingslogboek groot genoeg is voor normaal systeemonderhoud of de normale duur van een procedure voor probleemoplossing.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Gat in stroom gebeurtenissen gedetecteerd door Microsoft Audit Collection Services-collector

Microsoft Audit Collection Services-collector heeft een gat gedetecteerd in de stroom gebeurtenissen van doorstuurserver {0}.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.EventProvider

Default

Alert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Operations Manager</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">4635</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">AdtServer</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertName/> <AlertDescription/> <AlertOwner/> <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue> <SuppressionValue>$Data/PublisherName$</SuppressionValue> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue> </Suppression> <Custom1>$Data/Params/Param[1]$</Custom1> <Custom2/> <Custom3/> <Custom4/> <Custom5/> <Custom6/> <Custom7/> <Custom8/> <Custom9/> <Custom10/> </WriteAction> </WriteActions> </Rule>