На форуме TechNet мне не помогли, так что попробую здесь :).
Наш веб-сервер работает под управлением 64-разрядной стандартной версии Server 2008 SP1. За последнюю неделю мы неоднократно сталкивались с повреждениями журнала событий приложений. Каждый раз мы можем исправить повреждение, очищая журнал. Но порча всегда возвращается, иногда в течение часа или двух.
У нас есть сценарий PowerShell, который периодически проверяет журнал событий и отправляет нам сообщения об ошибках. Как только журнал поврежден, запуск приложения get-eventlog из PowerShell дает следующий результат:
Get-EventLog: не удается прочитать запись журнала номер 696. Возможно, журнал событий поврежден. В строке: 1 символ: 13
+ get-eventlog <<<< Приложение
Обычно перед ошибкой повреждения отображается несколько допустимых записей журнала событий.
Другие журналы событий (система, безопасность и т. Д.) Не испорчены.
Если я смотрю журнал приложений в средстве просмотра событий, я вижу несколько событий без какой-либо информации. В представлении списка они показывают значок «информация», но все остальные столбцы пусты. Во вкладках «общие» и «подробности» все пусто.
Я думал о порче диска. Но поскольку это влияет только на журнал событий, я скептически отношусь к тому, что причиной являются диски. На сервере есть один массив RAID-1, который показывает состояние работоспособности. Кэширование записи отключено. Все приложения и сайты, размещенные на сервере, работают нормально; только журнал событий имеет проблемы.
В TechNet кто-то ответил, что это звучит как проблема PowerShell, но это не так, поскольку повреждение также видно через графический интерфейс средства просмотра событий.
Буду признателен за любые идеи, которые могут у вас возникнуть для поиска причины этой проблемы ...
Спасибо,
Ричард
Ричард
Есть какие-то закономерности в системном журнале?
Также попробуйте использовать dumprel.exe для чтения поврежденных файлов журнала. http://support.microsoft.com/kb/129266
Попробуйте этот патч: http://support.microsoft.com/kb/2701799
Предложение Пера Оскара Дювеборна попробуйте отключить приложения, чтобы посмотреть, сможете ли вы изолировать одно, вызывающее повреждение журнала. Есть ли какой-нибудь образец для хороших журналов непосредственно перед тем, как они испортятся?
Возможно, что-то не так с жестким диском или местом, где хранится журнал событий, что вызывает повреждение. Видеть кб 315417 чтобы попробовать переместить его в другую папку или, что еще лучше, на другой жесткий диск. По крайней мере, временно, чтобы увидеть, не в этом ли проблема.