Microsoft Denetim Toplama Hizmetleri Toplayıcısı Olay Akışında Boşluk Algılandı - Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule) (TRK)

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Özet

Bu izleyici ve uyarı ACS Toplayıcısının bir ACS ileticisinden gelen olay akışında bir boşluk algıladığını belirtir. Bu durum olay günlüğündeki kaydırma nedeniyle bazı olayların eksik olabileceği veya birisinin yönetilen bilgisayarda olay günlüğünü temizlemekte olduğu anlamına gelir.

Kural şu olayı algıladığında uyarı verilir: Kaynak = AdtServer ve Kod = 4635.

Nedenler

Uyarı aracı üzerinde aşağıdakilerin geçekleşmiş olabileceğini belirtir:

İleticinin toplayıcıyla bağlantısı kesildiğinde birisi olay günlüğünü temizledi
İleticinin toplayıcıyla bağlantısı kesildiğinde olay günlüğünde kayma oldu

Çözümler

Birisinin güvenlik günlüğünü temizleyip temizlemediğini görmek için "Sistem Bütünlüğü - Denetim Günlüğü Temizlendi" raporunu çalıştırın.
Güvenlik günlüğü boyutunun düzenli sistem bakımı veya tipik bir sorun giderme süresince olayları sıraya alabilecek kadar büyük olduğundan emin olun.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Microsoft Denetim Toplama Hizmetleri Toplayıcısı Olay Akışında Boşluk Algılandı

Microsoft Denetim Toplama Hizmetleri Toplayıcısı, {0} İleticisinden gelen olay akışında bir boşluk algıladı.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.EventProvider

Default

Alert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Operations Manager</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">4635</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">AdtServer</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertName/> <AlertDescription/> <AlertOwner/> <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue> <SuppressionValue>$Data/PublisherName$</SuppressionValue> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue> </Suppression> <Custom1>$Data/Params/Param[1]$</Custom1> <Custom2/> <Custom3/> <Custom4/> <Custom5/> <Custom6/> <Custom7/> <Custom8/> <Custom9/> <Custom10/> </WriteAction> </WriteActions> </Rule>