Um serviço entrou em um estado imprevisível.
Esta regra gera um alerta sempre que um log de eventos enche. Quando um log de eventos enche, novas instâncias de eventos são descartadas. Como resultado, informações críticas não são coletadas e problemas relacionados à integridade do sistema podem não ser detectados.
O log de eventos atingiu a capacidade. A causa mais provável para isso é que o log está configurado com uma das seguintes configurações de tamanho:
Substituir eventos com mais de “N” dias
Não substituir eventos (limpar log manualmente)
Para resolver esse Alerta, execute os seguintes procedimentos:
Salve o arquivo de log e limpe
Abra o Visualizador de Eventos.
Clique com o botão direito do mouse no log de eventos apropriado e clique em Propriedades.
Clique no botão Limpar Log.
Se apropriado, salve o arquivo de log.
Atualize a configuração do arquivo de log
Abra o Visualizador de Eventos.
Clique com o botão direito do mouse no log de eventos apropriado e clique em Propriedades.
Clique em Substituir conforme necessário ou Substituir eventos com mais de N dias. Nos casos em que a opção "Substituir eventos com mais de N dias" for clicada, é necessário ajustar o valor de dias para que o grooming dos eventos possa acompanhar ou exceder a adição de novos elementos ao log.
Exemplo de evento:
Esta regra gerará um alerta quando qualquer ocorrer um dos seguintes eventos no Log de Eventos do Sistema:
O arquivo de log %1 está cheio.
Fonte: Log de Eventos; ID do Evento: 6000 O arquivo de log %1 está cheio.
| Target | Microsoft.Windows.Client.Win7.OperatingSystem |
| Category | EventCollection |
| Enabled | False |
| Alert Generate | False |
| Remotable | True |
| Event Log | System |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
| WriteToDW | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
Home
PTB <Rule ID="Microsoft.Windows.Client.Win7.OperatingSystem.EventLogFull.Alert" Enabled="false" Target="Win7!Microsoft.Windows.Client.Win7.OperatingSystem" DiscardLevel="100" ConfirmDelivery="true" Remotable="true" Priority="Normal">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>6000</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>