Foi coletado um evento indicando a finalização de um serviço inesperadamente.
Esta regra gera um alerta quando um serviço do Windows® termina inesperadamente. Além do evento de término do serviço, um evento do Relatório de Erros do Windows (Fonte: Dr. Watson; ID: 4097) sempre é criado e será coletado pelo Operations Manager. Esse evento adicional pode ser útil ao tentar resolver o alerta de término do serviço.
Quando um serviço termina o aplicativo inesperadamente, o Dr. Watson detecta se o aplicativo gerou uma GPF (falha de proteção geral). Uma GPF ocorre quando um aplicativo tenta ler ou gravar em uma local da memória ao qual ele não tem acesso. Isso normalmente resulta no término do programa e na perda de dados não salvos.
Quando um serviço termina inesperadamente, é possível selecionar uma das seguintes opções para resolver o problema:
Procure informações de suporte relacionadas no site do fornecedor do software.
Instale qualquer service pack ou atualizações do produto para o aplicativo relevante.
Instale quaisquer service packs ou atualizações para todos os subsistemas relevantes dos quais o aplicativo depende.
Se o serviço terminar inesperadamente com frequência incomum e informações de suporte relacionadas não estiverem disponíveis, contate o fornecedor do software para obter suporte.
Exemplo de evento:
Esta regra gera um alerta sempre que qualquer um dos seguintes eventos ocorre no Log de Eventos do Sistema:
Prestes a retornar à última configuração válida porque o serviço %1 falhou ao iniciar.
O serviço %1 foi terminado com o seguinte erro: %n%2
O serviço %1 terminou com o erro específico de serviço %2.
O serviço %1 foi finalizado inesperadamente. Isso aconteceu %2 vez(es). A seguinte ação corretiva será executada em %3 milissegundos: %5.
O Gerenciador de Controle de Serviço tentou executar uma ação corretiva (%2) após o término inesperado do serviço %3, mas essa ação falhou com o seguinte erro: %n%4
O serviço %1 foi finalizado inesperadamente. Isso aconteceu %2 vez(es).
Fonte: Gerenciador de Controle de Serviço; 7021; A ponto de retornar à última configuração válida porque o serviço %1 falhou ao iniciar.
Fonte: Gerenciador de Controle de Serviço; 7023; O serviço %1 terminou com o seguinte erro: %n%2
Fonte: Gerenciador de Controle de Serviço; 7024; O serviço %1 terminou com o erro específico de serviço %2.
Fonte: Gerenciador de Controle de Serviço; 7031; O serviço %1 foi finalizado inesperadamente. Isso aconteceu %2 vez(es). A seguinte ação corretiva será executada em %3 milissegundos: %5.
Fonte: Gerenciador de Controle de Serviço; 7032; O Gerenciador de Controle de Serviço tentou executar uma ação corretiva (%2) após o término inesperado do serviço %3, mas a ação falhou com o seguinte erro: %n%4
Fonte: Gerenciador de Controle de Serviços; 7033; O Gerenciador de Controle de Serviços não inicializou com êxito. O servidor de configuração de segurança (scesrv.dll) não pôde ser inicializado, com o erro %1. O sistema está reiniciando...
Fonte: Gerenciador de Controle de Serviço; 7034; O serviço %1 foi finalizado inesperadamente. Isso aconteceu %2 vez(es).
Target | Microsoft.Windows.Server.10.0.OperatingSystem | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.10.0.OperatingSystem.ServiceTerminatedUnexpextedly.Alert" Enabled="false" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Service Control Manager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7021</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7024</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7031</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7032</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7033</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>7034</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.10.0.OperatingSystem.ServiceTerminatedUnexpextedly.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>