Esta regla recopila los eventos que indican que el sistema ejecutó un chkdsk al iniciar
Esta regla recopila eventos que indican cuándo se ha ejecutado una operación CHKDSK durante el inicio del sistema operativo.
La regla de recopilación para comprobar lo que ocurrió en el sistema al iniciar está deshabilitada de forma predeterminada. A continuación, se indica cómo habilitarla:
En el espacio de creación, elija Reglas, escriba "Regla de recopilación para comprobar lo que ocurrió en el sistema al iniciar" en "Buscar" y haga clic en Buscar ahora.
Invalide las reglas para establecer Enabled = "True".
Target | Microsoft.Windows.Server.10.0.OperatingSystem |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToDW | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.CheckingFileSystemOccuredOnStartup.Collection" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Wininit</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>1001</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>