У меня есть служба, которая выводит много журналов событий. В настоящее время журнал событий настроен на перезапись любых старых событий, чтобы журнал никогда не переполнялся. Мы также значительно увеличили размер журнала событий (примерно до 600 МБ).
Недавно служба начала сообщать об ошибках своим клиентам, и сообщение об ошибке, которое она отправляла своим клиентам, было «Файл журнала событий заполнен». Как это может быть, если журнал событий настроен на перезапись по мере необходимости?
В спешке восстановить службу мы очистили журнал событий, не сохраняя его содержимое, но, судя по размерам некоторых более ранних дампов журналов, он, скорее всего, еще не достиг 600 МБ. Также есть запись MS KB 312571, который сообщает, что доступно оперативное исправление для аналогичной проблемы, но конфигурация, к которой применяется исправление, не совсем та, что у нас. В частности, исправление применяется, только если журналы событий настроены на никогда перезаписать старые события.
Интересно, связано ли это с тем, что файлы журналов по-видимому, отображаются в памяти. Что произойдет, если в системе закончится адресное пространство для сопоставления файлов?
http://technet.microsoft.com/en-us/library/cc778402%28WS.10%29.aspx
Все текущие версии Windows имеют архитектурное ограничение в отношении файлов с отображением памяти: ни один процесс не может иметь в сумме более 1 ГБ файлов с отображением памяти. Это ограничение означает, что все службы, запускаемые в процессе Services.exe, должны совместно использовать пул размером 1 ГБ.
Думаю, причина в этом. Если вам нужно подробное ведение журнала, использовать какой-либо метод для архивирования старых журналов, прежде чем они будут перезаписаны?