Cette règle génère des alertes en fonction des événements système qui indiquent un système de fichiers NTFS endommagé.
NTFS a signalé que le disque logique est endommagé ou totalement indisponible. Certaines données stockées sur le volume peuvent être inaccessibles.
Un disque logique peut devenir endommagé ou inaccessible pour plusieurs raisons, notamment :
Un disque physique lié au disque logique a été supprimé ou a échoué.
Un disque physique lié au disque logique a été endommagé.
Le disque a peut-être rencontré un problème.
Vérifiez l'état du matériel afin de détecter d'éventuelles pannes. Dans la plupart des cas, le journal système contient des événements supplémentaires provenant des pilotes de stockage de niveau inférieur qui indiquent la cause du problème.
Une fois que le problème matériel a été isolé et résolu :
1. Ouvrez le composant logiciel enfichable Gestion des disques.
2. Effectuez une nouvelle analyse des disques et réactivez les disques comportant des erreurs. Resynchronisez ou régénérez le volume en fonction des besoins si le disque était membre d'un volume en miroir ou RAID - 5.
3. Exécutez fsutil avec l'état de réparation sur le volume ; cela vous indiquera l'état d'intégrité actuel du volume.
4. Si nécessaire, pour l'analyse pro de l'état (1) requise – Exécutez Chkdsk /scan sur n'importe quel volume réactivé.
5. Si nécessaire, pour l'option de correction des points de l'état (2) – Exécutez Chkdsk /spotfix sur n'importe quel volume réactivé.
6. Si nécessaire, pour le disque de vérification complète de l'état (3) – Exécutez chkdsk/f sur n'importe quel volume réactivé.
Target | Microsoft.Windows.Server.6.2.LogicalDisk | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2012.OperatingSystem.NTFSFileSystemCorrupt.Alert" Enabled="true" Target="WindowsServer!Microsoft.Windows.Server.6.2.LogicalDisk" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Ntfs</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<Value Type="String">$Target/Property[Type="Windows!Microsoft.Windows.LogicalDevice"]/Name$</Value>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<XPathQuery Type="String">Params/Param[1]</XPathQuery>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">2</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">3</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2012.OperatingSystem.NTFSFileSystemCorrupt.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[1]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[2]$</AlertParameter3>
<AlertParameter4>$Data/Params/Param[3]$</AlertParameter4>
</AlertParameters>
</WriteAction>
</WriteActions>
</Rule>