Le journal des événements arrête l'enregistrement des événements avant d'atteindre la taille maximale du journal

Traductions disponibles Traductions disponibles
Numéro d'article: 312571 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Dans Windows 2000, le journal des événements service peut cesser de journalisation des événements avant de la taille est spécifiée dans le paramètre Taille maximale du journal est atteinte si l'option ne pas remplacer les événements est activée. Cela peut entraîner des événements pour être perdues.

Le journal des événements arrête généralement l'enregistrement des nouveaux événements lorsque le journal atteint une taille d'environ 200 mégaoctets (Mo) à 600 Mo.

Cause

Le service Journal des événements peut signaler que le journal des événements est complet et arrêter la journalisation événements avant la taille maximale du journal. Si le paramètre de stratégie de groupe « Arrêter immédiatement le système s'il aux audits de sécurité n'est pas » est utilisé sur un ordinateur, l'ordinateur peut cesser de l'audit des événements et peut cesser de répondre (se bloquer) plus tôt que prévu.

Résolution

Informations sur le service pack

Pour résoudre ce problème, procurez-vous le dernier service pack Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
260910 Comment faire pour obtenir le dernier Windows service pack

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, soumettez une demande à Microsoft client service et support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en coordinated universal temps (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'outil Date et heure du Panneau de configuration.
   Date         Time   Version         Size    File name
   --------------------------------------------------------
   02-May-2002  14:28  5.00.2195.5722  45,328  Eventlog.dll
				
Avec ce correctif installé, vous pouvez implémenter un processus de sauvegarde automatique (en utilisant une clé de Registre) lorsque le journal des événements en cours ne peut pas être étendu. Vous pouvez ajouter une clé de Registre pour chaque journal des événements augmenter le délai avant le journal des événements est plein ou avant de l'ordinateur se bloque. Notez que la taille des journaux d'événements est toujours limitée par les ressources disponibles sur l'ordinateur (comme mémoire virtuelle et espace disque libre).

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ». Ce problème a été corrigé dans Windows 2000 Service Pack 4.

Plus d'informations

important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows

Pour utiliser le nouveau comportement de sauvegarde automatique après avoir appliqué ce correctif, vous devez ajouter clés de Registre tels que les clés suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server


Valeur : AutoBackupLogFiles
Type : DWORD
Valeur de données : valeur pas présent ou 0 (zéro) est désactivé. (Il s'agit de la valeur par défaut.) Toute valeur non nulle est égale à « activé.
note Vous devez redémarrer l'ordinateur ou effacer le journal des événements correspondant avant le nouveau comportement prend effet. Vous devez configurer le journal des événements pour que le paramètre ne pas remplacer les événements (nettoyage manuel du journal) .

Si vous utilisez le « arrêter le système immédiatement s'il n'est pas possible de se connecter aux sécurité audits » (CrashOnAuditFail) stratégie et si vous ne désactivez pas le journal de sécurité après avoir affecter la valeur de Registre sécurité 1, l'ordinateur cesse toujours de répondre lorsqu'une défaillance d'audit.

Description de l'entrée de Registre AutoBackupLogFiles

Le recours à cette écriture entraîne le service Journal des événements pour effacer automatiquement un journal des événements complète et de sauvegarder le fichier journal. Sur les ordinateurs avec la stratégie « CrashOnAuditFail » activée, l'ordinateur continue à enregistrer des événements (au lieu d'en retrait en raison d'un échec d'audit) si le fichier journal en cours peut être sauvegardé automatiquement. Par défaut, les journaux d'événements sont stockés dans le dossier % SystemRoot%\System32\Config. Si vous activez cette valeur de Registre, un fichier journal complet est automatiquement sauvegardé dans le dossier % SystemRoot%\System32\Config, le fichier journal est effacé et reprend l'enregistrement des événements.

Si vous activez cette valeur de Registre, vous devez vous assurer déplacer ou supprimer les fichiers journaux de sauvegarde du volume système. Si vous ne le faites pas, le volume peut devenir complet. Microsoft recommande que vous implémentez une procédure manuelle ou automatique pour déplacer ou supprimer les fichiers journal de sauvegarde pour empêcher les fichiers du journal de sauvegarde de consomme tout l'espace sur le volume système. Si vous activez cette valeur de Registre, prendre action immédiate si vous recevez un message « disque plein ».

Lorsqu'un fichier journal est sauvegardé, événement 524 est enregistré avec une source de "journal d'événements » dans le fichier de journal événements de sécurité. L'événement est semblable à :
Le fichier de journal de sécurité a été enregistré comme Security-2002-02-05-22-48-40-042.evt car le fichier journal actuel est plein.
Le nom du fichier de sauvegarde est une concaténation du nom du fichier journal et la date et l'heure (en temps universel coordinated, ou heure UTC). Ce format est le nom :
Ouvrez une session name-year-month-day-hour-minute-seconds-millisecond.evt
Le nom du fichier journal de sauvegarde va ressembler à ceci :
Logname-YYYY-MM-DD-HH-MM-SSS-mmm.evt
Activer cette valeur de Registre ou de désactiver affecte tous les fichiers journaux. La modification prend effet après redémarrer l'ordinateur, ou effacer tout journal des événements.

Pour plus d'informations sur la façon d'obtenir un correctif pour Windows 2000 Datacenter Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
265173 Le produit programme Datacenter et Windows 2000 Datacenter Server
Pour plus d'informations sur la façon d'installer plusieurs correctifs en un seul redémarrage, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
296861 Comment installer Windows plusieurs mises à jour ou correctifs en un seul redémarrage

Propriétés

Numéro d'article: 312571 - Dernière mise à jour: mardi 8 avril 2008 - Version: 6.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows 2000 Professional SP2
Mots-clés : 
kbmt kbautohotfix kbhotfixserver kbdirservices kbwin2ksp4fix kbbug kbfix kbqfe kbwin2000presp4fix KB312571 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 312571
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com