Home
  •  

Regla de recopilación para comprobar lo que ocurrió en el sistema al iniciar

Microsoft.Windows.Server.10.0.OperatingSystem.CheckingFileSystemOccuredOnStartup.Collection (Rule)

Esta regla recopila los eventos que indican que el sistema ejecutó un chkdsk al iniciar

Knowledge Base article:

Resumen

Esta regla recopila eventos que indican cuándo se ha ejecutado una operación CHKDSK durante el inicio del sistema operativo.

Configuración

La regla de recopilación para comprobar lo que ocurrió en el sistema al iniciar está deshabilitada de forma predeterminada. A continuación, se indica cómo habilitarla:

En el espacio de creación, elija Reglas, escriba "Regla de recopilación para comprobar lo que ocurrió en el sistema al iniciar" en "Buscar" y haga clic en Buscar ahora.

Invalide las reglas para establecer Enabled = "True".

Element properties:

TargetMicrosoft.Windows.Server.10.0.OperatingSystem
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue
Event LogApplication

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Windows.EventProvider Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default
WriteToDW WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.CheckingFileSystemOccuredOnStartup.Collection" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventSourceName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Wininit</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>1001</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>