Muitos Eventos do Windows Danificados ou Ilegíveis

Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents (UnitMonitor)

Este monitor verificará se o Módulo Log de Eventos do Windows lê muitos eventos corrompidos em algum log de eventos. Se ele encontrar eventos corrompidos ou ilegíveis em excesso durante um período de tempo, definirá o estado deste monitor como não íntegro.

Knowledge Base article:

Resumo

Esse estado de alerta/monitor indica que existem muitos eventos danificados e ilegíveis no log de eventos que estava sendo monitorado.

O serviço de integridade do System Center Management tentou ler um evento e diversos eventos subsequentes no log de eventos que não estavam legíveis. A configuração padrão desse monitor gera um estado e um alerta e de aviso quando detecta 21 eventos consecutivos que o serviço de integridade do System Center Management não conseguiu processar em 5 minutos.

Se o serviço de integridade do System Center Management tiver conseguido processar um evento durante ou depois desse tempo, o monitor mudará para um estado íntegro, e o alerta de aviso original será solucionado automaticamente.

Causas

Isso pode ser provocado por diversos problemas, incluindo:

Log de eventos danificado
Eventos inválidos do registro em log do aplicativo

Resoluções

Use as etapas abaixo para determinar se existe um problema com o log de eventos que estava sendo processado:

1. Anote o nome da regra ou monitor indicado no alerta ou no contexto do monitor. Esse é o texto depois do Nome do fluxo de trabalho no contexto.

2. Procure por esse nome no console e abra as propriedades para essa regra ou monitor.

3. Nas propriedades do monitor ou da regra, examine as guias que começam com Log de Eventos (por exemplo: "Log de Eventos (Evento não Íntegro)".

4. Depois de anotar o log de eventos onde esse monitor ou regra está configurado para monitorar, procure uma guia relacionada denominada Expressão de Evento (por exemplo, "Expressão de Evento Simples" ou "Expressão de Evento Repetido").

5. Anote os critérios aqui. Você usará esses critérios para filtrar o log de eventos dos computadores de destino para procurar pelo evento danificado.

6. Depois de receber o log de eventos e a expressão (por exemplo, ID do Evento igual a 14384 E Fonte do Evento igual a Serviço de Integridade), abra o visualizador de eventos onde esse evento foi originado.

7. Clique no log de eventos identificado na Etapa 3.

8. Filtre o log de eventos para procurar pelo mesmo evento com base no qual a regra ou monitor foi configurado na Etapa 5. Você pode fazer isso no visualizador de eventos clicando com o botão direito no nome do log de eventos e escolhendo a opção do menu de contexto "Exibir" e, em seguida, "Filtrar". É possível filtrar por "Origem do evento" e “ID do Evento" de modo semelhante à expressão da Etapa 5.

9. Se algum evento for exibidos, abra-o no visualizador de eventos.

a. Se você puder abrir o evento com êxito, salve o log de eventos (menu Ação, Salvar arquivo de log como).

b. Contate o Atendimento ao Cliente e informe o nome do monitor e seu estado atual, as etapas que você tentou seguir no conhecimento e o log de eventos salvo para análise offline.

Element properties:

Target

Microsoft.SystemCenter.HealthService

Parent Monitor

Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.Rollup

Category

AvailabilityHealth

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Low

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.RepeatedEventLogSingleEventLog2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Muitos Eventos do Windows Danificados ou Ilegíveis

{0}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents" Accessibility="Public" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.HealthService" ParentMonitorID="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.Rollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.RepeatedEventLogSingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.SystemCenter.HealthServiceModules.WindowsEventLog.CorruptOrUnreadableEvents_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Low</AlertPriority>

    <AlertSeverity>Warning</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/Context/DataItem/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="ManyCorruptEvents" MonitorTypeStateID="RepeatedEventRaised" HealthState="Warning"/>

    <OperationalState ID="SuccessfullyReadEvent" MonitorTypeStateID="EventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>Operations Manager</LogName>

    <Expression>

      <Or>

        <Expression>

          <And>

            <Expression>

              <Or>

                <Expression>

                  <SimpleExpression>

                    <ValueExpression>

                      <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                    </ValueExpression>

                    <Operator>Equal</Operator>

                    <ValueExpression>

                      <Value Type="UnsignedInteger">26005</Value>

                    </ValueExpression>

                  </SimpleExpression>

                </Expression>

                <Expression>

                  <SimpleExpression>

                    <ValueExpression>

                      <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                    </ValueExpression>

                    <Operator>Equal</Operator>

                    <ValueExpression>

                      <Value Type="UnsignedInteger">25005</Value>

                    </ValueExpression>

                  </SimpleExpression>

                </Expression>

              </Or>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="String">Health Service Modules</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <Value Type="String">$Target/ManagementGroup/Name$</Value>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <XPathQuery Type="String">Params/Param[1]</XPathQuery>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </And>

        </Expression>

        <Expression>

          <And>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="String">Health Service ESE Store</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">102</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </And>

        </Expression>

      </Or>

    </Expression>

    <RepeatedComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</RepeatedComputerName>

    <RepeatedLogName>Operations Manager</RepeatedLogName>

    <RepeatedExpression>

      <And>

        <Expression>

          <Or>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">26008</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">25008</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">26009</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">25009</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </Or>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Health Service Modules</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <Value Type="String">$Target/ManagementGroup/Name$</Value>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </RepeatedExpression>

    <Consolidator>

      <ConsolidationProperties>

        <PropertyXPathQuery>Params/Param[1]</PropertyXPathQuery>

      </ConsolidationProperties>

      <TimeControl>

        <WithinTimeSchedule>

          <Interval>300</Interval>

        </WithinTimeSchedule>

      </TimeControl>

      <CountingCondition>

        <Count>20</Count>

        <CountMode>OnNewItemTestOutputRestart_OnTimerSlideByOne</CountMode>

      </CountingCondition>

    </Consolidator>

  </Configuration>

</UnitMonitor>