收集了指示服务意外终止的事件。
当 Windows® 服务意外终止时,此规则生成警报。除服务终止事件之外,通常会创建 Windows 错误报告事件(来源:Dr Watson;ID:4097),并且 Operations Manager 将收集该事件。当尝试解决服务终止警报时,此额外事件可能会有所帮助。
当服务意外终止应用程序时,Dr.Watson 检测到该应用程序已生成一般性保护错误(GPF)。当应用程序尝试读取或写入到它没有权限访问的内存位置时将出现 GPF。这通常会导致程序终止和未保存的数据丢失。
当服务意外终止时,你可以选择下列选项之一来解决问题:
在软件供应商的网站查看相关的支持信息。
为相关应用程序安装 Service Pack 或产品更新。
为应用程序所依赖的任何相关子系统安装 Service Pack 或更新。
如果服务意外终止的频率非常频繁,并且相关的支持信息不可用,则你应该联系软件供应商以获得帮助。
示例事件:
无论何时“系统事件日志”中发生以下任一事件,此规则均将生成警报:
由于 %1 服务启动失败,将恢复为最后一次正确的配置。
%1 服务因下列错误而停止: %n%2
%1 服务终止,并出现特定于服务的错误 %2。
%1 服务意外终止。 此情况已经发生 %2 次。 将在 %3 毫秒内执行以下修正操作: %5。
在 %3 服务意外终止后,服务控制管理器曾试图采取修正操作(%2),但此操作失败,并出现以下错误: %n%4
%1 服务意外终止。 此情况已经发生 %2 次。
来源:服务控制管理器;7021;因为 %1 服务无法启动,即将恢复到最近一次已知的正确配置。
来源:服务控制管理器; 7023; %1 服务因下列错误而停止: %n%2
来源:服务控制管理器;7024;%1 服务因 %2 服务特定错误而停止。
来源:服务控制管理器;7031;%1 服务意外终止。 此情况已经发生 %2 次。 将在 %3 毫秒内执行以下修正操作: %5。
来源:服务控制管理器; 7032; 在 %3 服务意外终止后,服务控制管理器曾试图采取修正操作(%2),但此操作失败,并出现以下错误: %n%4
来源:服务控制管理器;7033;服务控制管理器没有成功初始化。安全配置服务器(scesrv.dll)无法初始化,错误为 %1。系统正在重新启动...
来源:服务控制管理器;7034;%1 服务意外终止。 此情况已经发生 %2 次。
Target | Microsoft.Windows.Server.10.0.OperatingSystem | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.ServiceTerminatedUnexpextedly.Alert" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Service Control Manager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7021</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7024</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7031</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7032</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7033</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7034</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.ServiceTerminatedUnexpextedly.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>