Ficheiro de Registo de Eventos Cheio - Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert (Rule) (PTG)

Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert (Rule)

O ficheiro de registo de eventos está cheio.

Knowledge Base article:

Resumo

Esta regra gera um alerta sempre que um registo de eventos ficar cheio. Quando um registo de eventos fica cheio, as novas instâncias de eventos são eliminadas. Em resultado, não são recolhidas informações críticas e os problemas relacionados com o estado de funcionamento do sistema poderão não ser detetados.

Evento de Exemplo:

Esta regra gerará um alerta quando ocorrer um dos seguintes eventos no Registo de Eventos do Sistema:

O ficheiro de registo %1 está cheio.

Origem: Eventlog; ID do Evento: 6000 O ficheiro de registo %1 está cheio.

Causas

O registo de eventos atingiu a capacidade máxima. A causa mais provável para tal é que o registo esteja configurado com uma das seguintes configurações de tamanho do registo:

Substituir eventos com mais de "N" dias
Não substituir eventos (Limpar registo manualmente)

Resoluções

Para resolver este Alerta, execute os seguintes procedimentos:

Guardar Ficheiro de Registo e Limpar

Abra o Visualizador de Eventos.
Clique com o botão direito do rato no registo de eventos adequado e clique em Propriedades.
Clique no botão Limpar Registo.
Se for adequado, guarde o ficheiro de registo.

Atualizar a configuração do ficheiro de registo

Abra o Visualizador de Eventos.
Clique com o botão direito do rato no registo de eventos adequado e clique em Propriedades.
Clique em Substituir se necessário ou em Substituir eventos com mais de N dias. Se clicar na opção “Substituir eventos com mais de N dias”, tem de ajustar o valor do número de dias de modo a que o tratamento dos eventos possa acompanhar, ou exceder, a adição de novos eventos ao registo.

Element properties:

Target

Microsoft.Windows.Server.6.2.OperatingSystem

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

O registo de eventos está cheio

{0}

Event Log

System

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Windows.EventProvider	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert" Enabled="true" Target="WindowsServer!Microsoft.Windows.Server.6.2.OperatingSystem" ConfirmDelivery="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>System</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventSourceName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>Microsoft-Windows-Eventlog</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>6000</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.6.2.OperatingSystem.EventLogFull.Alert.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>