Die Ereignisprotokolldatei ist voll.
Diese Regel generiert eine Warnung, sobald ein Ereignisprotokoll voll wird. Wenn ein Ereignisprotokoll voll ist, werden neue Ereignisinstanzen verworfen. Demzufolge werden wichtige Informationen nicht gesammelt, und Probleme mit der Systemintegrität bleiben möglicherweise unentdeckt.
Beispielereignis:
Von dieser Regel wird eine Warnung generiert, wenn eines der folgenden Ereignisse im Systemereignisprotokoll verzeichnet wird:
Protokolldatei „%1“ ist voll.
Quelle: Ereignisprotokoll; Ereignis-ID: 6000; Die Protokolldatei „%1“ ist voll.
Das Ereignisprotokoll hat seine Kapazität erreicht. Dies liegt häufig daran, dass die Protokollgröße mit einer der folgenden Optionen konfiguriert ist:
Ereignisse überschreiben, die älter als „N“ Tage sind
Ereignisse nie überschreiben (Protokoll manuell löschen)
Führen Sie die folgenden Verfahren aus, um die Warnung aufzulösen:
Protokolldatei speichern und Einträge löschen
Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie auf Eigenschaften.
Klicken Sie auf die Schaltfläche Protokoll löschen.
Speichern Sie ggf. die Protokolldatei.
Protokolldateikonfiguration aktualisieren
Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie auf Eigenschaften.
Klicken Sie auf Ereignisse bei Bedarf überschreiben oder Ereignisse überschreiben, die älter als N Tage sind. Falls Ereignisse überschreiben, die älter als N Tage sind ausgewählt wird, müssen Sie den Wert für die Tage so anpassen, dass die Optimierung der Ereignisse mit dem Hinzufügen neuer Ereignisse im Protokoll Schritt hält oder diesem zuvorkommt.
Target | Microsoft.Windows.Server.10.0.OperatingSystem | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>6000</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>