Ereignisprotokolldatei ist voll - Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule) (DEU)

Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule)

Die Ereignisprotokolldatei ist voll.

Knowledge Base article:

Zusammenfassung

Diese Regel generiert eine Warnung, sobald ein Ereignisprotokoll voll wird. Wenn ein Ereignisprotokoll voll ist, werden neue Ereignisinstanzen verworfen. Demzufolge werden wichtige Informationen nicht gesammelt, und Probleme mit der Systemintegrität bleiben möglicherweise unentdeckt.

Beispielereignis:

Von dieser Regel wird eine Warnung generiert, wenn eines der folgenden Ereignisse im Systemereignisprotokoll verzeichnet wird:

Protokolldatei „%1“ ist voll.

Quelle: Ereignisprotokoll; Ereignis-ID: 6000; Die Protokolldatei „%1“ ist voll.

Ursachen

Das Ereignisprotokoll hat seine Kapazität erreicht. Dies liegt häufig daran, dass die Protokollgröße mit einer der folgenden Optionen konfiguriert ist:

Ereignisse überschreiben, die älter als „N“ Tage sind
Ereignisse nie überschreiben (Protokoll manuell löschen)

Lösungen

Führen Sie die folgenden Verfahren aus, um die Warnung aufzulösen:

Protokolldatei speichern und Einträge löschen

Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie auf Eigenschaften.
Klicken Sie auf die Schaltfläche Protokoll löschen.
Speichern Sie ggf. die Protokolldatei.

Protokolldateikonfiguration aktualisieren

Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie auf Eigenschaften.
Klicken Sie auf Ereignisse bei Bedarf überschreiben oder Ereignisse überschreiben, die älter als N Tage sind. Falls Ereignisse überschreiben, die älter als N Tage sind ausgewählt wird, müssen Sie den Wert für die Tage so anpassen, dass die Optimierung der Ereignisse mit dem Hinzufügen neuer Ereignisse im Protokoll Schritt hält oder diesem zuvorkommt.

Element properties:

Target

Microsoft.Windows.Server.10.0.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Ereignisprotokoll voll

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>