В минувшие выходные произошел сбой сервера, во время расследования я заметил, что сразу после сбоя мы увидели большое количество определенных событий в журнале приложений. Пытаясь понять, что происходит, я прикрепил к этому событию задачу, чтобы отправить мне электронное письмо, если это произойдет снова.
Я получаю электронные письма все выходные, около 200 писем было получено с вечера пятницы, и они все еще приходят.
Сегодня утром я вошел на сервер и открыл программу просмотра событий, и я не вижу новых экземпляров этого события в программе просмотра журналов.
Если я фильтрую по идентификатору события, я могу увидеть серию событий с прошлой недели, но ничего с тех пор.
Get-Eventlog показывает то же самое, что и средство просмотра графического интерфейса пользователя, т. Е. Никаких записей об этих событиях, и все же я все еще получаю генерируемые электронные письма.
Насколько я могу судить, все остальное регистрируется, как и ожидалось.
Это ящик Server 2008 R2, работающий в кластере ESXi, последние обновления и т. Д. Инструменты обновлены с ESXi (хотя я собираюсь перейти на 10.0.5, я думаю).
РЕДАКТИРОВАТЬ: ПРИЛОЖЕНИЕ WEVTUTIL qe >> ApplicationLog.log
Теперь я вижу журналы, запускающие событие hte. По-прежнему не понимаю, почему они не отображаются в средстве просмотра.
Скорее всего, это настройка по умолчанию для EventLog, отбрасывающая старые элементы.
Смотрите мой ответ по адресу: https://superuser.com/questions/1414698/does-windows-eventlog-drops-off-old-items-as-new-items-are-added