Händelseloggfilen är full - Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule) (SVE)

Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert (Rule)

Händelseloggfilen är full.

Knowledge Base article:

Sammanfattning

Den här regeln genererar en avisering när en händelselogg är full. När en händelselogg är full ignoreras nya händelseinstanser. Det innebär att kritisk information inte samlas in och att hälsorelaterade problem i systemet inte uppmärksammas.

Exempelhändelse:

Den här regeln genererar en avisering när någon av följande händelser inträffar i systemhändelseloggen:

Loggfilen %1 är full.

Källa: Händelse-logg; Händelse-ID: 6000 Loggfilen %1 är full.

Orsaker

Händelseloggens kapacitet har överskridits. Den troligaste orsaken till detta är att loggen är konfigurerad med någon av följande loggstorlekskonfigurationer:

Skriv över händelser äldre än N dagar
Skriv aldrig över händelser (rensa loggen manuellt)

Lösningar

Följ dessa steg för att åtgärda den här aviseringen:

Spara loggfilen och rensa

Öppna Loggboken.
Högerklicka på den aktuella händelseloggen och klicka på Egenskaper.
Klicka på knappen Rensa loggen
Spara loggfilen om det är aktuellt.

Uppdatera loggfilskonfigurationen

Öppna Loggboken.
Högerklicka på den aktuella händelseloggen och klicka på Egenskaper.
Klicka på Skriv över om det behövs eller Skriv över händelser som är äldre än X dagar. Om du klickar på Skriv över händelser som är äldre än X dagar måste du justera dagsvärdena så att skötseln av händelserna kan upprätthålla eller överskrida tillförseln av nya händelser i loggen.

Element properties:

Target

Microsoft.Windows.Server.10.0.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

Händelseloggen är full

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>