你目前正处于脱机状态,正在等待 Internet 重新连接

在事件日志将停止记录事件日志达到最大日志大小之前

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 312571
症状
在 Windows 2000 服务可能会停止记录事件 日志大小的最大值 设置中指定的大小前事件日志达到如果开启了 不要改写事件 选项。 这可能会导致事件丢失。

通常在事件日志将停止记录新事件时在日志达到某个大小的大约 200 兆字节 (MB) 到 600 MB。
原因
事件日志服务可能会报告事件日志已满,并且达到最大日志大小之前停止记录事件。如果"关闭系统,如果无法记录安全审核则立即"组策略设置是在一台计算机上使用,计算机可能会停止审核的事件,并可能会停止响应 (挂起) 比预期更快。
解决方案

服务包信息

若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 服务包

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。此修补程序的英文版具有文件属性 (或更高版本) 下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
   Date         Time   Version         Size    File name   --------------------------------------------------------   02-May-2002  14:28  5.00.2195.5722  45,328  Eventlog.dll				
与安装的此修复程序可以实现一个自动备份过程 (通过使用注册表项) 时不能扩展当前的事件日志。您可以添加注册表项的每个事件日志,以增加时间之前,事件日志装满或之前计算机挂起。请注意事件日志的大小仍然可用的资源 (如虚拟内存和可用磁盘空间) 计算机上受限制。
状态
Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。 在 Microsoft Windows 2000 Service Pack 4 中,第一次已得到纠正此问题。
更多信息
重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表

若要应用此修补程序后,请使用新的自动备份行为,您必须添加注册表项,如以下项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server


值: AutoBackupLogFiles
类型: DWORD
数据值: 不存在或 0 (零) 值等于"已禁用。 (这是默认值)。任何非零值等于"已启用。
注意您必须重新启动计算机,或新的行为将生效之前,请清除相应的事件日志。您必须配置事件日志,不要改写的事件 (手动清除日志) 设置。

如果您正在使用该"关闭系统立即如果无法记录安全审核"(CrashOnAuditFail) 策略和如果您不执行清除安全日志后将 安全 注册表值设置为 1,计算机仍然停止响应的审核失败发生时。

AutoBackupLogFiles 注册表项的说明

使用此项会导致事件日志服务会自动清除完整的事件日志和要备份在日志文件。开启的"CrashOnAuditFail"策略的计算机上该计算机将继续记录事件 (不是由于一个审核失败的悬挂),如果当前日志文件可以自动备份。默认状态下,事件日志存储 %SystemRoot%\System32\Config 文件夹中。如果您打开此注册表值,完整日志文件 %SystemRoot%\System32\Config 文件夹中自动备份、 清除了该日志文件,和事件日志记录恢复。

如果您打开此注册表值,则必须确保要移动或删除系统卷上的备份的日志文件。如果您没有在卷可能变满。Microsoft 建议您执行手动或自动移动或删除备份日志文件,以防止备份日志文件占用的所有系统卷上空间的过程。如果您打开此注册表值,则立即采取行动如果您收到一条消息,"磁盘已满"。

当一个日志文件成功备份时,事件 524 会记录与安全事件日志文件中的"事件日志"的源。该事件是类似于:
安全日志文件被保存为 Security-2002-02-05-22-48-40-042.evt,因为当前日志文件已满。
备份文件的名称是日志文件名称以及日期和时间 (以协调的通用时间或 UTC) 的串联。名称具有这种格式:
日志 name-year-month-day-hour-minute-seconds-millisecond.evt
备份日志文件名称看起来将类似于这样:
Logname-YYYY-MM-DD-HH-MM-SSS-mmm.evt
打开或关闭此注册表值会影响所有的日志文件。当您重新启动在的计算机,或清除任何事件日志后,更改生效。

有关如何获取修补程序的 Windows 2000 数据中心服务器的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265173数据中心计划和 Windows 2000 数据中心服务器产品
有关如何在只重新启动一次的情况下安装多个修补程序的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
296861如何安装多个 Windows 更新或修补程序仅添加一个重新启动

警告:本文已自动翻译

属性

文章 ID:312571 - 上次审阅时间:04/08/2008 21:57:18 - 修订版本: 6.1

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Professional SP1, Microsoft Windows 2000 Professional SP2

  • kbmt kbautohotfix kbhotfixserver kbdirservices kbwin2ksp4fix kbbug kbfix kbqfe kbwin2000presp4fix KB312571 KbMtzh
反馈