V protokolu událostí zastaví protokolování událostí před dosažením maximální velikosti protokolu

Příznaky

V systému Windows 2000 service může přestat protokolování událostí před velikost, která je určena v nastavení maximální velikost protokolu událostí je dosaženo, pokud je zapnutá možnost Nepřepisovat události . Může dojít ke ztrátě událostí.

V protokolu událostí obvykle zastaví protokolování nových událostí, když dosáhne velikosti z přibližně 200 megabajtů (MB) až 600 MB.

Příčina

Služba Protokol událostí může hlásit, že protokol událostí je plný a zastavení protokolování událostí dříve, než je dosaženo maximální velikosti protokolu. Pokud nastavení Zásady skupiny "Ukončit činnost systému okamžitě, je-li možno protokolovat auditování zabezpečení" je používán v počítači, počítač může přestat auditování událostí a může přestat reagovat (zablokuje se) dříve, než bylo očekáváno.

Řešení

Informace o aktualizaci Service pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows 2000. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
260910 jak získat nejnovější aktualizaci service pack pro systém Windows

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tento oddíl není uveden, odešlete požadavek na Microsoft Zákaznický servis a podporu k získání opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk. Anglická verze této opravy hotfix má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v nástroji datum a čas v okně Ovládací panely.
   Date         Time   Version         Size    File name
--------------------------------------------------------
02-May-2002 14:28 5.00.2195.5722 45,328 Eventlog.dll

S Tato oprava nainstalována, můžete implementovat automatický proces zálohování (pomocí klíče registru) při aktuální protokol událostí nelze rozšířit. Můžete přidat klíč registru pro každý protokol událostí zvýšit čas před zaplnění protokolu událostí nebo před počítač přestává reagovat. Všimněte si, že velikost protokolu událostí je stále omezený prostředky v počítači (například virtuální paměti a volné místo na disku).

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Platí pro". Tento problém byl poprvé opraven v aktualizaci Microsoft Windows 2000 Service Pack 4.

Další informace

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows

Chcete-li použít nové automatizované zálohování chování po instalaci této opravy hotfix, je nutné přidat klíče registru, jako je například následující klíče:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server

Hodnota: AutoBackupLogFiles
Typ: DWORD
Hodnota data: hodnota není přítomen, nebo 0 (nula) se rovná "vypnuto". (Toto je výchozí nastavení). Jakákoli nenulová hodnota rovná se "povolené."
Poznámka: Musíte restartovat počítač nebo zrušte zaškrtnutí odpovídajících protokolu událostí před nové chování se projeví. Je nutné nakonfigurovat nastavení Nepřepisovat události (protokol vymazávat ručně) v protokolu událostí.

Pokud používáte "auditování vypnout systém okamžitě, pokud nelze protokolovat zabezpečení" (CrashOnAuditFail) zásady a pokud není vymazat protokol zabezpečení po můžete nastavit hodnotu registru zabezpečení na 1, počítač stále přestává reagovat, dojde k selhání auditu.

Popis položky registru AutoBackupLogFiles

Pomocí této položky způsobí, že služba Protokol událostí automaticky zrušte zaškrtnutí políčka úplný protokol událostí a zálohování souboru protokolu. V počítačích s politikou "CrashOnAuditFail" zapnuto bude počítač nadále protokolovat události (namísto předsazení kvůli selhání auditu), pokud je aktuální soubor protokolu lze automaticky zálohovat. Ve výchozím nastavení protokoly událostí jsou uloženy ve složce %SystemRoot%\System32\Config. Pokud zapnete tuto hodnotu registru, úplné soubor protokolu je ve složce %SystemRoot%\System32\Config automaticky zálohovány soubor protokolu je zrušeno a obnoví protokolování událostí.

Pokud zapnete tuto hodnotu registru, musíte přesunout nebo odstranit záložní soubory protokolu ze systémového svazku. Pokud není, se může stát úplné svazku. Společnost Microsoft doporučuje implementovat ruční nebo automatizovaný postup přesunout nebo odstranit soubory protokolu zálohování soubory protokolu zálohování zabránit spotřebovávat veškeré místo na systémovém svazku. Pokud zapnete tuto hodnotu registru, trvat okamžitou akci, pokud se zobrazí zpráva "Plný Disk".

Pokud soubor protokolu je úspěšně zálohován, je zaznamenána událost 524 se zdrojem "událostí" v souboru protokolu událostí zabezpečení. Událost je podobný:
Soubor protokolu zabezpečení byla uložena jako Security-2002-02-05-22-48-40-042.evt, protože aktuální soubor protokolu je plný.
Název záložního souboru je složen z názvu souboru protokolu a datum a čas (koordinovaný světový čas nebo čas UTC). Název má tento formát:
Protokol name-year-month-day-hour-minute-seconds-millisecond.evt
Název souboru protokolu zálohování bude vypadat podobně jako tento:
Logname-YYYY-MM-DD-HH-MM-SSS-mmm.evt
Tato hodnota registru zapnutí, nebo vypnutí ovlivní všechny soubory protokolu. Tato změna se projeví po restartování počítače, nebo zrušte zaškrtnutí libovolného protokolu událostí.

Další informace o tom, jak získat opravu hotfix pro systém Windows 2000 Datacenter Server klepněte na následující číslo článku databáze Microsoft Knowledge Base:

Produkt systém Datacenter Program a systém Windows 2000 Datacenter Server 265173

Další informace o instalaci více oprav hotfix s pouze jedním restartováním počítače klepněte na následující číslo článku databáze Microsoft Knowledge Base:

296861 instalace více aktualizací nebo oprav hotfix s pouze jedním restartováním počítače

Vlastnosti

ID článku: 312571 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor