Alerte en cas de scripts PowerShell abandonnés

Microsoft.SystemCenter.PowerShellModule.AlertOnDroppedResponses (Rule)

Avertit lorsque des scripts PowerShell sont abandonnés.

Knowledge Base article:

Résumé

Le service de contrôle d'intégrité de l'administration System Center n'a pas pu exécuter un script PowerShell dans le cadre d'une règle ou d'une analyse en raison d'une utilisation excessive.

Cela peut affecter une partie de l'analyse ou de la détection.

Causes

Les raisons de ce problème peuvent être les suivantes :

Le service de contrôle d'intégrité de l'administration System Center exécute un nombre trop important de scripts PowerShell.
L'exécution des scripts PowerShell prend trop de temps.
L'exécution des scripts PowerShell est trop fréquente.
L'ordinateur ne dispose pas de ressources suffisantes (comme la mémoire) pour l'exécution du script PowerShell.

Solutions

La description et le contexte de l'alerte contiennent des informations indiquant la règle ou l'analyse ayant échoué. Cependant, il se peut que d'autres règles ou analyses aient également échoué. Le lien suivant affichera tous les événements indiquant l'échec de l'exécution du programme exécutable :

Afficher les événements PowerShell

Après avoir vérifié l'erreur en contexte, envisagez une réduction de la fréquence du script PowerShell.

Assurez-vous que l'ordinateur n'est pas surchargé.

Ouvrez le Gestionnaire des tâches pour vérifier si la mémoire libre est suffisante.
Ouvrez le Gestionnaire des tâches pour vérifier si des processus monopolisent l'unité centrale.

Cela peut également être dû à un trop grand nombre de scripts PowerShell planifiés. Cela peut résulter d'un nombre d'événements très élevé ou d'un minuteur mal configuré. Dans les deux cas, la configuration de la règle doit être examinée pour déterminer pourquoi le script PowerShell est exécuté trop souvent et doit généralement être sauvegardé d'une manière ou d'une autre (augmentant ainsi l'intervalle).

Element properties:

Target

Microsoft.SystemCenter.HealthService

Category

Alert

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Le script PowerShell a été abandonné.

{0}

Event Log

Operations Manager

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Consolidator	ConditionDetection	System.ConsolidatorCondition	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.SystemCenter.PowerShellModule.AlertOnDroppedResponses" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.HealthService" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Operations Manager</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Health Service Modules</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">Params/Param[1]</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">$Target/ManagementGroup/Name$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">22411</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Consolidator" TypeID="System!System.ConsolidatorCondition">

    <Consolidator>

      <ConsolidationProperties>

        <PropertyXPathQuery>Params/Param[1]</PropertyXPathQuery>

      </ConsolidationProperties>

      <TimeControl>

        <WithinTimeSchedule>

          <Interval>300</Interval>

        </WithinTimeSchedule>

      </TimeControl>

      <CountingCondition>

        <Count>10</Count>

        <CountMode>OnNewItemTestOutputRestart_OnTimerSlideByOne</CountMode>

      </CountingCondition>

    </Consolidator>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertName/>

      <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.PowerShellModule.AlertOnDroppedResponses.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Context/DataItem/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Context/DataItem/Params/Param[2]$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>