Bu izleyici ve uyarı ACS Toplayıcısının bir ACS ileticisinden gelen olay akışında bir boşluk algıladığını belirtir. Bu durum olay günlüğündeki kaydırma nedeniyle bazı olayların eksik olabileceği veya birisinin yönetilen bilgisayarda olay günlüğünü temizlemekte olduğu anlamına gelir.
Kural şu olayı algıladığında uyarı verilir: Kaynak = AdtServer ve Kod = 4635.
Uyarı aracı üzerinde aşağıdakilerin geçekleşmiş olabileceğini belirtir:
İleticinin toplayıcıyla bağlantısı kesildiğinde birisi olay günlüğünü temizledi
İleticinin toplayıcıyla bağlantısı kesildiğinde olay günlüğünde kayma oldu
Birisinin güvenlik günlüğünü temizleyip temizlemediğini görmek için "Sistem Bütünlüğü - Denetim Günlüğü Temizlendi" raporunu çalıştırın.
Güvenlik günlüğü boyutunun düzenli sistem bakımı veya tipik bir sorun giderme süresince olayları sıraya alabilecek kadar büyük olduğundan emin olun.
Target | Microsoft.SystemCenter.ACS.Collector | ||
Category | Alert | ||
Enabled | True | ||
Event_ID | 4635 | ||
Event Source | AdtServer | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Operations Manager |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Operations Manager</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4635</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
</Suppression>
<Custom1>$Data/Params/Param[1]$</Custom1>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>