Le fichier journal des événements est plein - Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule) (FRA)

Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule)

Le fichier journal des événements est plein.

Knowledge Base article:

Résumé

Cette règle génère une alerte à chaque fois qu'un journal d'événements est saturé. Dès qu'un journal d'événements est saturé, les nouvelles instances d'événement sont ignorées. Par conséquent, les informations importantes ne sont pas collectées et des problèmes liés à la santé du système risquent de passer inaperçus.

Exemple d'événement :

Cette règle génèrera un événement lorsqu'un des événements suivants se produira dans le journal des événements système :

Le fichier journal %1 est plein.

Source : Journal des événements ; ID d'événement : 6000 Le fichier journal %1 est plein.

Causes

Le journal des événements a atteint sa capacité maximale. Il est fort probable que le journal a été configuré avec l'une des configurations de taille de journal suivantes :

Remplacer les événements datant de plus de « N » jours
Ne pas remplacer les événements (nettoyage manuel du journal)

Résolutions

Pour résoudre cette alerte, procédez comme suit :

Enregistrer le fichier journal et l'effacer

Ouvrez l'Observateur d'événements.
Cliquez avec le bouton droit sur le journal d'événements approprié et cliquez sur Propriétés.
Cliquez sur le bouton Effacer le journal.
Si nécessaire, enregistrez le fichier journal.

Mettre à jour la configuration du fichier journal

Ouvrez l'Observateur d'événements.
Cliquez avec le bouton droit sur le journal d'événements approprié et cliquez sur Propriétés.
Cliquez sur Remplacer les événements si nécessaire ou sur Remplacer les événements datant de plus de N jours. Quand l'option « Remplacer les événements datant de plus de N jours » est sélectionnée, vous devez ajuster le nombre de jours pour pouvoir continuer à ajouter de nouveaux événements au journal.

Element properties:

Target

Microsoft.Windows.Server.10.0.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Le journal des événements est plein

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>