이 규칙은 NTFS 파일 시스템 손상을 나타내는 시스템 이벤트에 대한 경고 기반을 생성합니다.
NTFS에서 논리 디스크가 손상되었거나 완전히 사용 불가능하다고 보고했습니다. 해당 볼륨에 저장된 일부 데이터에 액세스하지 못할 수 있습니다.
논리 디스크가 손상되었거나 다음과 같은 몇 가지 원인으로 인해 논리 디스크에 액세스하지 못할 수 있습니다.
논리 디스크와 관련된 실제 디스크가 제거되었거나 실제 디스크에 오류가 발생했습니다.
논리와 관련된 실제 디스크가 손상되었습니다.
디스크에 문제가 발생했습니다.
하드웨어에 오류가 있는지 상태를 확인합니다. 대부분의 경우 시스템 로그에는 오류 원인을 나타내는 하위 수준 저장소 드라이버의 추가 이벤트가 포함되어 있습니다.
하드웨어 문제를 찾아 해결한 후에 다음을 수행하십시오.
1. 디스크 관리 스냅인을 엽니다.
2. 디스크를 다시 검사하여 오류가 있는 디스크를 다시 활성화합니다. 디스크가 미러 또는 RAID-5 볼륨에 속한 경우 필요하면 볼륨을 다시 동기화하거나 다시 생성합니다.
3. 볼륨에서 fsutil repair state를 실행하여 볼륨의 현재 성능 상태를 알려 줍니다.
4. 상태 (1) Pro-scan 필요인 경우 필요에 따라 다시 활성화된 볼륨에서 Chkdsk /scan을 실행합니다.
5. 상태 (2) 지점 수정 필요인 경우에는 필요에 따라 다시 활성화된 볼륨에서 Chkdsk /spotfix를 실행합니다.
6. 상태 (3) 전체 디스크 검사 필요인 경우 필요에 따라 다시 활성화된 볼륨에서 chkdsk/f를 실행합니다.
Target | Microsoft.Windows.Server.10.0.LogicalDisk | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.10.0.LogicalDisk.NTFSFileSystemCorrupt.Alert" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.LogicalDisk" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Ntfs</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<Value Type="String">$Target/Property[Type="Windows!Microsoft.Windows.LogicalDevice"]/Name$</Value>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<XPathQuery Type="String">Params/Param[1]</XPathQuery>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">2</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">3</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.LogicalDisk.NTFSFileSystemCorrupt.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[1]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[2]$</AlertParameter3>
<AlertParameter4>$Data/Params/Param[3]$</AlertParameter4>
</AlertParameters>
</WriteAction>
</WriteActions>
</Rule>