Arquivo de Log de Eventos está Cheio - Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert (Rule) (PTB)

Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert (Rule)

O arquivo de log de eventos está cheio.

Knowledge Base article:

Resumo

Esta regra gera um alerta sempre que um log de eventos enche. Quando um log de eventos enche, novas instâncias de eventos são descartadas. Como resultado, informações críticas não são coletadas e problemas relacionados à integridade do sistema podem não ser detectados.

Exemplo de evento:

Esta regra gerará um alerta quando qualquer ocorrer um dos seguintes eventos no Log de Eventos do Sistema:

O arquivo de log %1 está cheio.

Fonte: Log de Eventos; ID do Evento: 6000 O arquivo de log %1 está cheio.

Causas

O log de eventos atingiu a capacidade. A causa mais provável para isso é que o log está configurado com uma das seguintes configurações de tamanho:

Substituir eventos com mais de “N” dias
Não substituir eventos (limpar log manualmente)

Resoluções

Para resolver esse Alerta, execute os seguintes procedimentos:

Salve o arquivo de log e limpe

Abra o Visualizador de Eventos.
Clique com o botão direito do mouse no log de eventos apropriado e clique em Propriedades.
Clique no botão Limpar Log.
Se apropriado, salve o arquivo de log.

Atualize a configuração do arquivo de log

Abra o Visualizador de Eventos.
Clique com o botão direito do mouse no log de eventos apropriado e clique em Propriedades.
Clique em Substituir conforme necessário ou Substituir eventos com mais de N dias. Em casos em que “Substituir eventos com mais de N dias” for clicado, você deve ajustar o valor de dias para que o grooming dos eventos possa acompanhar ou exceder a adição de novos elementos ao log.

Element properties:

Target

Microsoft.Windows.Server.2008.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

O log de eventos está cheio

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="Server2008!Microsoft.Windows.Server.2008.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>