Как получить PowerShell для захвата файла журнала при переполнении?

Question

Я использую плагин Powershell PSeventing, но мне пока не повезло найти событие, которое срабатывает, когда журнал событий заполнен. Я смотрю повсюду. MSDN .net события, я знаю, что это связано с максимальным размером журнала событий, но я не могу найти этот триггер, и я не уверен, как получить PSeventing, чтобы это произошло. Может кто-нибудь мне помочь. Спасибо заранее.

Answer 1

Существует определенное событие, которое происходит в журналах событий приложения или системы, когда они считаются "полными" (в соответствии с настроенным параметром OverflowAction):

http://www.eventid.net/display.asp?eventid=6000&eventno=291&source=EventLog&phase=1

Вы должны следить за событиями, используя WmiEventWatcher для этого события (в частности, eventid 6000, error), точно так же, как вы наблюдаете за любым другим событием.

-Oisin (автор pseventing)

Answer 2

Моей первой мыслью было бы использовать FileSystemWatcher и контролировать размер файла. Я не нахожу никакой другой опции, кроме мониторинга системного журнала событий (я думаю, что событие записывается туда, когда журнал полон и попытка записи не удалась), но это не сработает, если журнал беспокоит системный журнал событий.

Answer 3

Одним из способов является использование Microsoft System Center или MOM для отслеживания события с идентификатором 523. Я считаю, что необходимо применить исправление к серверам, которые будут регистрировать событие полного журнала. Проверьте веб-сайт Microsoft. Наш триггер на 90%, я думаю, вы можете установить процент, где вы хотите, чтобы он срабатывал.

Возможно, вы также можете сделать это с помощью WMI или Powershell, но его придется часто запускать, чтобы отследить изменения. Простой DIR для журнала событий даст вам размер, если вы знаете верхний предел, вы можете рассчитать% заполнения. Это может быть автоматизировано в VB или C #.

Answer 4

Спасибо за событие Oisin, но сейчас я изучаю Trapping a Exception в Powershell, когда журнал заполнен до того, как он перезаписывается. Я думаю, что исключения называются «журнал полон», но я не уверен, и я не знаю так много о Ловушке и Броске, это, как говорят, плохо документировано, но я нахожусь на следе.

Answer 5

Интересно, есть ли связанное событие WMI, для которого вы могли бы зарегистрировать приемник? Если у меня будет время, я буду искать его.

Хорошо, вот что я нашел до сих пор. Доступен приемник событий __EventQueueOverflowEvent. Я подозреваю, что это может работать для вас. Существует также __SystemEvent, который также может быть полезен .