Collecteur des services ACS Microsoft : intervalle détecté dans le flux d'événements - Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule) (FRA)

Microsoft.SystemCenter.ACS.Collector.EventStreamGap (Rule)

Knowledge Base article:

Résumé

Cette analyse et alerte indique que le collecteur ACS a détecté un décalage au niveau du flux d'événements entrant qui émane du redirecteur ACS. Il se peut donc que certains événements manquent en raison de la suppression du journal des événements ou par l'effacement manuel de ce journal sur l'ordinateur géré.

L'alerte est déclenchée lorsque la règle détecte l'événement : Source = AdtServer et ID = 4635.

Causes

L'alerte peut indiquer les conditions suivantes sur l'agent :

Un utilisateur a effacé le journal des événements lorsque la connexion a été rompue entre le redirecteur et le collecteur.
Le journal des événements a été supprimé lorsque la connexion a été rompue entre le redirecteur et le collecteur.

Solutions

Exécutez le rapport « Intégrité du système - Journal d'audit effacé » pour vérifier si un utilisateur a effacé le journal de sécurité.
Assurez-vous que la taille du journal de sécurité est suffisante pour l'enregistrement d'événements successifs dans le cadre d'une maintenance système de routine ou de la durée d'une procédure de dépannage standard.

Element properties:

Target

Microsoft.SystemCenter.ACS.Collector

Category

Alert

Enabled

True

Event_ID

4635

Event Source

AdtServer

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Collecteur des services ACS Microsoft : intervalle détecté dans le flux d'événements

Le collecteur des services ACS Microsoft a détecté un intervalle dans le flux d'événements du redirecteur {0}.

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.EventProvider

Default

Alert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.SystemCenter.ACS.Collector.EventStreamGap" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Operations Manager</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">4635</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">AdtServer</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertName/> <AlertDescription/> <AlertOwner/> <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.ACS.Collector.EventStreamGap.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue> <SuppressionValue>$Data/PublisherName$</SuppressionValue> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue> </Suppression> <Custom1>$Data/Params/Param[1]$</Custom1> <Custom2/> <Custom3/> <Custom4/> <Custom5/> <Custom6/> <Custom7/> <Custom8/> <Custom9/> <Custom10/> </WriteAction> </WriteActions> </Rule>