Ce moniteur vérifie si le module du journal des événements Windows lit de nombreux événements endommagés dans un quelconque journal d'événement. Si elle détecte un trop grand nombre d'événements endommagés ou illisibles pendant une certaine durée, elle définit l'état du module comme non intègre.
Résumé
Cette alerte ou état d'analyse indique que de nombreux événements sont endommagés et illisibles dans le journal des événements surveillé.
Le service de contrôle d’intégrité a tenté de lire un événement et plusieurs événements ultérieurs à celui-ci n'étaient pas lisibles dans le journal des événements. La configuration par défaut de cette analyse génère un état d'avertissement et une alerte après 21 traitements d'événements impossibles consécutifs par le service de contrôle d’intégrité en l'espace de 5 minutes.
Si le service de contrôle d’intégrité a pu traiter un événement pendant cette période ou après celle-ci, l'analyse passera au vert et l'alerte d'avertissement d'origine sera automatiquement résolue.
Causes
Ceci peut être dû à un certain nombre de problèmes :
Solutions
Vous pouvez utiliser les recommandations ci-dessous pour déterminer s'il s'agit d'un problème de bas niveau du journal des événements qui a été traité :
1. Prenez note du nom de la règle ou de l'analyse dans le contexte de l'alerte ou de l'analyse. Il s'agit du texte apparaissant après « Nom du flux de travail » dans le contexte.
2. Recherchez ce nom dans la console et affichez les propriétés de cette règle ou cette analyse.
3. Dans les propriétés du moniteur ou de la règle, recherchez les onglets commençant par « Journal des événements » (exemple : « Journal des événements (Événement défectueux) »).
4. Après avoir pris note du journal des événements dans lequel cette règle ou ce moniteur est configuré pour effectuer l'analyse, recherchez un onglet connexe nommé « Expression d'événement » (exemple : « Expression d'événement simple » ou « Expression d'événement répété »).
5. Prenez note de ces critères. Vous utiliserez ces critères pour filtrer le journal des événements des ordinateurs cibles à la recherche de l'événement endommagé.
6. Une fois que vous disposez du journal des événements et de l'expression (exemple : « ID d'événement égale 14384 » ET « Source de l'événement égale Service de contrôle d'intégrité »), ouvrez l'observateur d'événements de l'origine de cet événement.
7. Cliquez sur le journal des événements dans lequel la règle ou l'analyse ont été configurées à l'étape 3.
8. Filtrez le journal des événements pour rechercher un événement identique à celui qui a été configuré sur la règle ou le moniteur à l'étape 5. Vous pouvez effectuer cela dans l'Observateur d'événements en cliquant avec le bouton droit sur le nom du journal d'événements et en choisissant l'option de menu contextuel « Afficher », puis « Filtrer ». Vous pourrez alors filtrer en fonction de la « Source de l'événement » et de l'« ID de l'événement », comme dans l'expression de l'étape 5.
9. Si des événements s'affichent, ouvrez-les dans l'Observateur d'événements.
a. Si vous arrivez à ouvrir l'événement, enregistrez le journal des événements (Menu « Action », « Enregistrer le fichier journal sous »).
b. Contactez le support technique et fournissez-lui le nom de l'analyse et son état actuel, les étapes que vous avez essayé de suivre et le journal des événements que vous avez enregistré pour analyse hors connexion.
Home
FRA