2 votes

Richard Beier avatar

Corruption récurrente du journal des événements sur Windows Server 2008

Demandé el 20 de Mai, 2009
Quand la question a-t-elle été
5992 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je n'ai obtenu aucune aide sur le forum TechNet, alors je vais tenter ma chance ici :).

Notre serveur Web exécute Server 2008 SP1, édition standard 64 bits. Depuis une semaine environ, nous constatons une corruption répétée du journal des événements de l'application. À chaque fois, nous pouvons corriger l'altération en effaçant le journal. Mais l'altération revient toujours, parfois en l'espace d'une heure ou deux.

Nous avons un script PowerShell qui vérifie périodiquement le journal des événements et nous envoie des courriels sur les événements d'erreur. Lorsque le journal est devenu corrompu, l'exécution de "get-eventlog Application" à partir de PowerShell produit la sortie suivante :

Get-EventLog : Impossible de lire l'entrée du journal numéro 696. Le journal des événements est peut-être corrompu. À la ligne:1 char:13
+ get-eventlog <<<< Application

En général, plusieurs entrées valides du journal des événements sont affichées avant l'erreur de corruption.

Les autres journaux d'événements (Système, Sécurité, etc.) ne présentent pas cette corruption.

Si je regarde le journal des applications dans l'observateur d'événements, je vois plusieurs événements sans aucune information. Dans la vue en liste, ils affichent l'icône "information", mais toutes les autres colonnes sont vides. Dans les onglets "général" et "détails", tout est vide.

J'ai pensé à la corruption du disque. Mais comme cela n'affecte que le journal des événements, je suis sceptique quant à l'origine des disques. Le serveur possède une seule matrice RAID-1 dont l'état est sain. La mise en cache en écriture est désactivée. Toutes les applications et tous les sites hébergés sur le serveur semblent fonctionner correctement ; seul le journal des événements a des problèmes.

Sur TechNet, quelqu'un a répondu que cela ressemblait à un problème PowerShell - mais ce n'est pas le cas, puisque la corruption est également visible dans l'interface graphique de l'observateur d'événements.

J'apprécierais toute idée que vous pourriez avoir pour trouver la cause de ce problème...

Merci,
Richard

Demandé el 20 de Mai, 2009 par Richard Beier

Réponses

Trop de publicités?

2voto

RMalke avatar
RMalke Points 1120

Richard

Y a-t-il un modèle dans le journal du système ?

Essayez également d'utiliser dumprel.exe pour lire les fichiers journaux corrompus. http://support.microsoft.com/kb/129266

Répondu el 30 de Mai, 2009 par RMalke (1120 Points )

2voto

Leandro Bardelli avatar
Leandro Bardelli Points 214

Essayez ce patch : http://support.microsoft.com/kb/2701799

Répondu el 15 de Octobre, 2012 par Leandro Bardelli (214 Points )

1voto

th3dude avatar
th3dude Points 362

  1. Selon la suggestion d'Oskar Duveborn, essayez de désactiver des applications pour voir si vous pouvez en isoler une qui cause la corruption du journal. Existe-t-il un modèle pour les bons journaux juste avant qu'ils ne soient corrompus ?

  2. Il se peut que le disque dur ou l'emplacement où est stocké le journal des événements soit défectueux, ce qui entraîne la corruption. Voir kb 315417 d'essayer de le déplacer dans un autre dossier, ou mieux encore, sur un autre disque dur. Au moins temporairement, pour voir si c'est là le problème.

Répondu el 20 de Mai, 2009 par th3dude (362 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X