Ta reguła zbiera zdarzenia wskazujące, że system uruchomił program chkdsk podczas uruchamiania
Ta reguła umożliwia zbieranie danych dotyczących zdarzeń wskazujących wykonanie operacji CHKDSK podczas uruchamiania systemu operacyjnego.
Reguła zbierania danych dotyczących wykonywania sprawdzania systemu plików w czasie uruchamiania jest domyślnie wyłączona. Aby ją włączyć:
W obszarze Tworzenie wybierz opcję Reguły, w polu „Szukaj” wpisz „Reguła zbierania danych dotyczących wykonywania sprawdzania systemu plików w czasie uruchamiania” i kliknij przycisk Znajdź teraz.
Przesłoń reguły, aby ustawić wartość Włączone = „Prawda”.
Target | Microsoft.Windows.Server.10.0.OperatingSystem |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToDW | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.CheckingFileSystemOccuredOnStartup.Collection" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Wininit</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>1001</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>