El archivo de registro de eventos está lleno - Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert (Rule) (ESN)

Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert (Rule)

El archivo de registro de eventos está lleno.

Knowledge Base article:

Resumen

Esta regla genera una alerta cuando se llena un registro de eventos. Cuando se llena un registro de eventos, se descartan los casos de eventos nuevos. Como resultado, no se recopila información crítica y es posible que los problemas relacionados con el estado del sistema pasen desapercibidos.

Evento de muestra:

Esta regla generará una alerta cuando se produzca cualquiera de los siguientes eventos en el registro de eventos del sistema:

El archivo de registro %1 está lleno.

Origen: registro de eventos; Id. de evento: 6000El archivo de registro %1 está lleno.

Causas

El registro de eventos ha alcanzado su capacidad máxima. La causa más probable es que el registro se haya configurado mediante una de las siguientes configuraciones de tamaño del registro:

Sobrescribir eventos que tengan más de “N” días
No sobrescribir eventos (borrado manual del registro)

Soluciones

Para solucionar esta alerta, lleve a cabo los siguientes procedimientos:

Guardar el archivo de registro y borrarlo

Abra el Visor de eventos.
Haga clic con el botón secundario en el registro de eventos apropiado y haga clic en Propiedades.
Haga clic en el botón Vaciar registro.
Si procede, guarde el archivo de registro.

Actualizar la configuración del archivo de registro

Abra el Visor de eventos.
Haga clic con el botón secundario en el registro de eventos apropiado y haga clic en Propiedades.
Haga clic en Overwrite as needed (Sobrescribir eventos cuando sea necesario) o en Overwrite events older than N days (Sobrescribir eventos que tengan más de N días). Si hace clic en Overwrite events older than N days (Sobrescribir eventos que tengan más de N días), deberá ajustar el valor correspondiente a los días de forma que la limpieza de eventos admita la adición de eventos nuevos al registro.

Element properties:

Target

Microsoft.Windows.Server.2008.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

El registro de eventos está lleno

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="Server2008!Microsoft.Windows.Server.2008.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>