Le fichier journal des événements est plein.
Cette règle génère une alerte à chaque fois qu'un journal d'événements est saturé. Dès qu'un journal d'événements est saturé, les nouvelles instances d'événement sont ignorées. Par conséquent, les informations importantes ne sont pas collectées et des problèmes liés à la santé du système risquent de passer inaperçus.
Exemple d'événement :
Cette règle génèrera un événement lorsqu'un des événements suivants se produira dans le journal des événements système :
Le fichier journal %1 est plein.
Source : Eventlog ; ID de l'événement : 6000 Le fichier journal %1 est plein.
Le journal des événements a atteint sa capacité maximale. Il est fort probable que le journal a été configuré avec l'une des configurations de taille de journal suivantes :
Remplacer les événements datant de plus de « N » jours
Ne pas remplacer les événements (nettoyage manuel du journal)
Pour résoudre cette alerte, procédez comme suit :
Enregistrer le fichier journal et l'effacer
Ouvrez l'Observateur d'événements.
Cliquez avec le bouton droit sur le journal d'événements approprié et cliquez sur Propriétés.
Cliquez sur le bouton Effacer le journal.
Si nécessaire, enregistrez le fichier journal.
Mettre à jour la configuration du fichier journal
Ouvrez l'Observateur d'événements.
Cliquez avec le bouton droit sur le journal d'événements approprié et cliquez sur Propriétés.
Cliquez sur Remplacer les événements si nécessaire ou sur Remplacer les événements datant de plus de N jours. Quand l'option Remplacer les événements datant de plus de N jours est sélectionnée, vous devez ajuster le nombre de jours pour qu'il soit possible de continuer à ajouter de nouveaux événements au journal.
Target | Microsoft.Windows.Server.6.2.OperatingSystem | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="WindowsServer!Microsoft.Windows.Server.6.2.OperatingSystem" ConfirmDelivery="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>6000</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>