Назад | Перейти на главную страницу

Повторяющееся повреждение журнала событий в Windows Server 2008




На форуме TechNet мне не помогли, так что попробую здесь :).


Наш веб-сервер работает под управлением 64-разрядной стандартной версии Server 2008 SP1. За последнюю неделю мы неоднократно сталкивались с повреждениями журнала событий приложений. Каждый раз мы можем исправить повреждение, очищая журнал. Но порча всегда возвращается, иногда в течение часа или двух.

У нас есть сценарий PowerShell, который периодически проверяет журнал событий и отправляет нам сообщения об ошибках. Как только журнал поврежден, запуск приложения get-eventlog из PowerShell дает следующий результат:

Get-EventLog: не удается прочитать запись журнала номер 696. Возможно, журнал событий поврежден. В строке: 1 символ: 13
+ get-eventlog <<<< Приложение

Обычно перед ошибкой повреждения отображается несколько допустимых записей журнала событий.

Другие журналы событий (система, безопасность и т. Д.) Не испорчены.

Если я смотрю журнал приложений в средстве просмотра событий, я вижу несколько событий без какой-либо информации. В представлении списка они показывают значок «информация», но все остальные столбцы пусты. Во вкладках «общие» и «подробности» все пусто.


Я думал о порче диска. Но поскольку это влияет только на журнал событий, я скептически отношусь к тому, что причиной являются диски. На сервере есть один массив RAID-1, который показывает состояние работоспособности. Кэширование записи отключено. Все приложения и сайты, размещенные на сервере, работают нормально; только журнал событий имеет проблемы.

В TechNet кто-то ответил, что это звучит как проблема PowerShell, но это не так, поскольку повреждение также видно через графический интерфейс средства просмотра событий.


Буду признателен за любые идеи, которые могут у вас возникнуть для поиска причины этой проблемы ...

Спасибо,
Ричард

Ричард

Есть какие-то закономерности в системном журнале?

Также попробуйте использовать dumprel.exe для чтения поврежденных файлов журнала. http://support.microsoft.com/kb/129266

Попробуйте этот патч: http://support.microsoft.com/kb/2701799

  1. Предложение Пера Оскара Дювеборна попробуйте отключить приложения, чтобы посмотреть, сможете ли вы изолировать одно, вызывающее повреждение журнала. Есть ли какой-нибудь образец для хороших журналов непосредственно перед тем, как они испортятся?

  2. Возможно, что-то не так с жестким диском или местом, где хранится журнал событий, что вызывает повреждение. Видеть кб 315417 чтобы попробовать переместить его в другую папку или, что еще лучше, на другой жесткий диск. По крайней мере, временно, чтобы увидеть, не в этом ли проблема.