损坏或无法读取的 Windows 事件过多

Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents (UnitMonitor)

此监视器将检查 Windows 事件日志模块是否从任何事件日志读取很多损坏的事件。如果在一段时间内遇到太多损坏或无法读取的事件，它会将此监视器的状态设置为不正常。

Knowledge Base article:

摘要

此警报/监视器状态表示正在被监视的事件日志中存在许多损坏及无法读取的事件。

System Center 管理运行状况服务尝试读取无法读取的事件日志中的某个事件和大量后续事件。当此监视器在 5 分钟内遇到了 21 个 System Center 管理运行状况服务无法处理的连续事件时，此监视器的默认配置就会生成警告状态和警报。

如果在指定的时间之内或之后，System Center 管理运行状况服务能够处理事件，则监视器将切换为正常状态，并且原始的警告警报将被自动解决。

原因

这可能是由许多问题引起的，其中包括：

事件日志损坏
应用程序记录故障事件

解决方法

你可以使用下列步骤来确定正在被处理的事件日志是否存在问题：

1. 记下警报或监视器上下文中的规则或监视器名称。这是上下文中“工作流名称”后的文本。

2. 在控制台中查找此名称并打开该规则或监视器的属性。

3. 在监视器或规则属性中，查看以“事件日志”开始的选项卡（例如，“事件日志(不正常事件)”）。

4. 记下事件日志（其中，该监视器或规则被配置为要监视的监视器或规则）之后，请查找名为“事件表达式”的相关选项卡（例如，“简单事件表达式”或“重复事件表达式”）。

5. 记下此处的条件。你将使用这些条件过滤目标计算机事件日志以搜索损坏的事件。

6. 如果你有了事件日志和表达式（例如，“事件 ID 为 14384”和“事件源为运行状况服务”），请在生成此事件的位置打开事件查看器。

7. 单击步骤 3 中标识的事件日志。

8. 筛选事件日志以查找在步骤 5 中将规则或监视器配置到的同一事件。你可以按照下列方法在事件查看器中执行此操作：右键单击事件日志名称并选择“查看”上下文菜单选项，然后选择“筛选器”。在此，你可以根据类似于步骤 5 中的表达式的“事件来源”和“事件 ID”来进行筛选。

9. 如果在视图中显示了任何事件，请在事件查看器中将其打开。

a. 如果你可以成功打开事件，请保存事件日志（“操作”菜单，“将日志文件另存为”）。

b. 请与客户支持服务联系并提供监视器名称及其当前状态、尝试在知识中执行的步骤和为执行脱机分析操作所保存的事件日志。

Element properties:

Target

Microsoft.SystemCenter.HealthService

Parent Monitor

Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.Rollup

Category

AvailabilityHealth

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Low

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.RepeatedEventLogSingleEventLog2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

损坏或无法读取的 Windows 事件过多

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents" Accessibility="Public" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.HealthService" ParentMonitorID="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.Rollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.RepeatedEventLogSingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Low</AlertPriority>

    <AlertSeverity>Warning</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/Context/DataItem/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="ManyCorruptEvents" MonitorTypeStateID="RepeatedEventRaised" HealthState="Warning"/>

    <OperationalState ID="SuccessfullyReadEvent" MonitorTypeStateID="EventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>Operations Manager</LogName>

    <Expression>

      <Or>

        <Expression>

          <And>

            <Expression>

              <Or>

                <Expression>

                  <SimpleExpression>

                    <ValueExpression>

                      <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                    </ValueExpression>

                    <Operator>Equal</Operator>

                    <ValueExpression>

                      <Value Type="UnsignedInteger">26005</Value>

                    </ValueExpression>

                  </SimpleExpression>

                </Expression>

                <Expression>

                  <SimpleExpression>

                    <ValueExpression>

                      <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                    </ValueExpression>

                    <Operator>Equal</Operator>

                    <ValueExpression>

                      <Value Type="UnsignedInteger">25005</Value>

                    </ValueExpression>

                  </SimpleExpression>

                </Expression>

              </Or>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="String">Health Service Modules</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <Value Type="String">$Target/ManagementGroup/Name$</Value>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <XPathQuery Type="String">Params/Param[1]</XPathQuery>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </And>

        </Expression>

        <Expression>

          <And>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="String">Health Service ESE Store</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">102</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </And>

        </Expression>

      </Or>

    </Expression>

    <RepeatedComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</RepeatedComputerName>

    <RepeatedLogName>Operations Manager</RepeatedLogName>

    <RepeatedExpression>

      <And>

        <Expression>

          <Or>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">26008</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">25008</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">26009</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">25009</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </Or>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Health Service Modules</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <Value Type="String">$Target/ManagementGroup/Name$</Value>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </RepeatedExpression>

    <Consolidator>

      <ConsolidationProperties>

        <PropertyXPathQuery>Params/Param[1]</PropertyXPathQuery>

      </ConsolidationProperties>

      <TimeControl>

        <WithinTimeSchedule>

          <Interval>300</Interval>

        </WithinTimeSchedule>

      </TimeControl>

      <CountingCondition>

        <Count>20</Count>

        <CountMode>OnNewItemTestOutputRestart_OnTimerSlideByOne</CountMode>

      </CountingCondition>

    </Consolidator>

  </Configuration>

</UnitMonitor>