Ein Dienst ist in einen unvorhersehbaren Zustand übergegangen.
Diese Regel generiert eine Warnung, sobald ein Ereignisprotokoll voll wird. Wenn ein Ereignisprotokoll voll ist, werden neue Ereignisinstanzen verworfen. Demzufolge werden wichtige Informationen nicht gesammelt, und Probleme des Systemzustands bleiben möglicherweise unentdeckt.
Das Ereignisprotokoll hat seine Kapazität erreicht. Dies liegt häufig daran, dass die Protokollgröße mit einer der folgenden Optionen konfiguriert ist:
Ereignisse überschreiben, die älter als „N“ Tage sind
Ereignisse nie überschreiben (Protokoll manuell löschen)
Führen Sie die folgenden Verfahren aus, um die Warnung aufzulösen:
Protokolldatei speichern und löschen
Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Schaltfläche Protokoll löschen.
Speichern Sie ggf. die Protokolldatei.
Aktualisieren der Protokolldateikonfiguration
Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf das entsprechende Ereignisprotokoll, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf Ereignisse bei Bedarf überschreiben oder Ereignisse überschreiben, die älter als N Tage sind. Falls Ereignisse überschreiben, die älter als N Tage sind ausgewählt wird, müssen Sie den Wert für die Tage so anpassen, dass die Optimierung der Ereignisse mit der Hinzufügung neuer Ereignisse im Protokoll Schritt hält oder dieser zuvorkommt.
Beispielereignis:
Diese Regel generiert eine Warnung, wenn eines der folgenden Ereignisse im Systemereignisprotokoll verzeichnet wird:
Protokolldatei „%1“ ist voll.
Quelle: Ereignisprotokoll; Ereignis-ID: 6000 Protokolldatei „%1“ ist voll.
| Target | Microsoft.Windows.Client.Win7.OperatingSystem |
| Category | EventCollection |
| Enabled | False |
| Alert Generate | False |
| Remotable | True |
| Event Log | System |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
| WriteToDW | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
Home
DEU <Rule ID="Microsoft.Windows.Client.Win7.OperatingSystem.EventLogFull.Alert" Enabled="false" Target="Win7!Microsoft.Windows.Client.Win7.OperatingSystem" DiscardLevel="100" ConfirmDelivery="true" Remotable="true" Priority="Normal">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventSourceName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Eventlog</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>6000</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToDW" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>