Diese Regel generiert eine Warnung, wenn ein Windows®-Dienst unerwartet beendet wird. Neben dem Dienstbeendigungsereignis wird häufig ein Windows-Fehlerberichterstattungs-Ereignis (Quelle: Dr. Watson; ID: 4097) erstellt und von Microsoft Operations Manager gesammelt. Dieses zusätzliche Ereignis kann hilfreich sein, wenn Sie die Warnung bezüglich der Dienstbeendigung auflösen möchten.
Wenn ein Dienst die Anwendung unerwartet beendet, erkennt Dr. Watson, dass die Anwendung eine allgemeine Schutzverletzung (General Protection Fault, GPF) generiert hat. Eine allgemeine Schutzverletzung tritt auf, wenn eine Anwendung versucht, einen Speicherbereich zu lesen oder zu beschreiben, auf den sie keinen Zugriff hat. Dies führt häufig zur Beendigung des Programms und zum Verlust nicht gespeicherter Daten.
Wenn ein Dienst unerwartet beendet wird, haben Sie folgende Möglichkeiten zur Lösung des Problems:
Suchen Sie auf der Website des Softwareanbieters nach entsprechenden Supportinformationen.
Installieren Sie Service Packs oder Produktaktualisierungen für die betreffende Anwendung.
Installieren Sie Service Packs oder Aktualisierungen für alle relevanten Subsysteme, von denen die Anwendung abhängig ist.
Wenn der Dienst ungewöhnlich oft unerwartet beendet wird und keine entsprechenden Supportinformationen zur Verfügung stehen, sollten Sie sich an den Softwareanbieter wenden.
Beispielereignis:
Diese Regel generiert jedes Mal eine Warnung, wenn eines der folgenden Ereignisse im Systemereignisprotokoll verzeichnet wird:
Es wird jetzt zur letzten als funktionierend bekannten Konfiguration zurückgesetzt, da der Dienst „%1“ nicht gestartet werden konnte.
Der Dienst „%1“ wurde mit folgendem Fehler beendet: %n%2
Der Dienst „%1“ wurde mit folgendem dienstspezifischen Fehler beendet: %2.
Der Dienst „%1“ wurde unerwartet beendet. Dies ist bereits %2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in %3 Millisekunden durchgeführt: %5.
Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Diensts „%3“ Korrekturmaßnahmen (%2) durchzuführen, ist fehlgeschlagen. Fehler: %n%4
Der Dienst „%1“ wurde unerwartet beendet. Dies ist bereits %2 Mal vorgekommen.
Quelle: Dienststeuerungs-Manager; 7021Es wird jetzt zur letzten als funktionierend bekannten Konfiguration zurückgesetzt, da der Dienst „%1“ nicht gestartet werden konnte.
Quelle: Dienststeuerungs-Manager; 7023Der Dienst „%1“ wurde mit folgendem Fehler beendet: %n%2
Quelle: Dienststeuerungs-Manager; 7024Der Dienst „%1“ wurde mit folgendem dienstspezifischem Fehler beendet: %2.
Quelle: Dienststeuerungs-Manager; 7031Der Dienst „%1“ wurde unerwartet beendet. Dies ist bereits %2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in %3 Millisekunden durchgeführt: %5.
Quelle: Dienststeuerungs-Manager; 7032Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Diensts „%3“ Korrekturmaßnahmen (%2) durchzuführen, ist fehlgeschlagen. Fehler: %n%4
Quelle: Dienststeuerungs-Manager; 7034Der Dienst „%1“ wurde unerwartet beendet. Dies ist bereits %2 Mal vorgekommen.
| Target | Microsoft.Windows.Client.Win7.OperatingSystem | ||
| Category | EventCollection | ||
| Enabled | False | ||
| Alert Generate | True | ||
| Alert Severity | Warning | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | System |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
| GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
Home
DEU <Rule ID="Microsoft.Windows.Client.Win7.OperatingSystem.ServiceTerminatedUnexpextedly.Alert.MissionCritical" Enabled="false" Target="Win7!Microsoft.Windows.Client.Win7.OperatingSystem" DiscardLevel="100" ConfirmDelivery="true" Remotable="true" Priority="Normal">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Service Control Manager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<Or>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7021</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7024</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7031</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7032</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</Or>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7034</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Client.Win7.OperatingSystem.ServiceTerminatedUnexpextedly.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>