Questa regola genera avvisi in base agli eventi di sistema che indicano un danneggiamento del file system NTFS.
NTFS ha segnalato che il disco logico è danneggiato o non è disponibile. Alcuni dati memorizzati nel volume potrebbero essere inaccessibili.
Un disco logico potrebbe essere danneggiato o diventare inaccessibile per diversi motivi, tra i quali:
Un disco fisico correlato al disco logico è stato rimosso o non è funzionante.
Un disco fisico correlato al disco logico è stato danneggiato.
Nel disco si è verificato un problema.
Controllare lo stato dell'hardware per rilevare eventuali errori. Nella maggior parte dei casi, il registro di sistema contiene ulteriori eventi generati dai driver di archiviazione di livello inferiore che indicano la causa dell'errore.
Una volta identificato e risolto il problema hardware:
1. Aprire lo snap-in Gestione disco.
2. Eseguire nuovamente la scansione dei dischi e riattivare i dischi che presentano errori. Risincronizzare o rigenerare il volume in base alle necessità, se il disco era un membro di un volume RAID5 o con mirroring.
3. Eseguire fsutil con opzione di ripristino dello stato sul volume, che indicherà lo stato corrente del volume.
4. Se necessario, Per stato (1) Pro-scan necessario – eseguire Chkdsk /scan su qualsiasi volume riattivato.
5. Se necessario, Per stato (2) Correzione Spot necessaria – eseguire Chkdsk /spotfix su qualsiasi volume riattivato.
6. Se necessario, Per stato (3) Controllo completo disco necessario – eseguire chkdsk/f su qualsiasi volume riattivato.
Target | Microsoft.Windows.Server.6.2.LogicalDisk | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2012.OperatingSystem.NTFSFileSystemCorrupt.Alert" Enabled="true" Target="WindowsServer!Microsoft.Windows.Server.6.2.LogicalDisk" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Ntfs</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<Value Type="String">$Target/Property[Type="Windows!Microsoft.Windows.LogicalDevice"]/Name$</Value>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<XPathQuery Type="String">Params/Param[1]</XPathQuery>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">2</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">Params/Param[3]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">3</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2012.OperatingSystem.NTFSFileSystemCorrupt.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[1]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[2]$</AlertParameter3>
<AlertParameter4>$Data/Params/Param[3]$</AlertParameter4>
</AlertParameters>
</WriteAction>
</WriteActions>
</Rule>