Home
  •  

Règle de collecte des événements d'arrêt incorrect de Windows

Microsoft.Windows.Server.10.0.OperatingSystem.DirtyShutdown.Collection (Rule)

Cette règle collecte les événements qui indiquent un arrêt incorrect du système d'exploitation Windows.

Knowledge Base article:

Résumé

Cette règle collecte les événements qui indiquent lorsqu'un arrêt intempestif (par exemple, une mise hors tension) du système d'exploitation est intervenu.

Configuration

La règle de collecte des événements d'arrêt incorrect de Windows est désactivée par défaut. Voici comment l'activer :

Dans l'espace de création, choisissez Règles, entrez « Règle de collecte des événements d'arrêt incorrect de Windows » dans le champ « Rechercher » et cliquez sur le bouton de recherche.

Remplacez les règles pour définir Enabled (activé) = "True".

Element properties:

TargetMicrosoft.Windows.Server.10.0.OperatingSystem
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue
Event LogSystem

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Windows.EventProvider Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default
WriteToDW WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.DirtyShutdown.Collection" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventSourceName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Eventlog</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>6008</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>