none
Выборочно очишен журнал событий RRS feed

  • Вопрос

  • Добрый день!

    Такая ситуация: из двух журналов (система и приложения) вырезан временной период в две недели. Окончание этого периода совпало с зависанием сервера, после которого пришлось сделать жесткую перезагрузку.

    Что это может быть?

    7 октября 2015 г. 11:37

Ответы

  • Это означает, что либо данные файлов журналов не были сброшены на диск из кэша, либо что файловая система при загрузке откатилась к состоянию, в котором файлы журнала имели меньший размер.

    В любом случае, первые подозреваемые - это диск и его контроллер.

    Рекомендую наблюдать за журналом системы на этом компьютере: там могут быть зафиксированы ошибки диска, которые никогда не запишутся на диск и после перезагрузки вы из не увидите. Можете с этой целью настроить подписку на этот журнал на другом сервере.


    Слава России!

    • Помечено в качестве ответа Svid_off 7 октября 2015 г. 12:35
    7 октября 2015 г. 12:29
  • Сие нам неведомо - здесь многое зависит от характера нагрузки на сервер. При исключительно вычислительной нагрузке сервер может выглядеть работающим и при проблемах с диском.

    PS А ещё вспомнил - могли быть проблемы из-за неработоспособности службы Eventlog или из-за того, что она не имела доступа к файлам журнала (помнится, в стародавние времена была хакерская программа, которая умела закрывать описатели этих файлов, чтобы прекратить регистрацию событий).


    Слава России!

    • Помечено в качестве ответа Svid_off 7 октября 2015 г. 13:14
    7 октября 2015 г. 13:05

Все ответы

  • Это означает, что либо данные файлов журналов не были сброшены на диск из кэша, либо что файловая система при загрузке откатилась к состоянию, в котором файлы журнала имели меньший размер.

    В любом случае, первые подозреваемые - это диск и его контроллер.

    Рекомендую наблюдать за журналом системы на этом компьютере: там могут быть зафиксированы ошибки диска, которые никогда не запишутся на диск и после перезагрузки вы из не увидите. Можете с этой целью настроить подписку на этот журнал на другом сервере.


    Слава России!

    • Помечено в качестве ответа Svid_off 7 октября 2015 г. 12:35
    7 октября 2015 г. 12:29
  • Спасибо!

    Я так понимаю, что вариант с кэшем не подходит - так пропал временной период в две недели?

    7 октября 2015 г. 12:37
  • Сие нам неведомо - здесь многое зависит от характера нагрузки на сервер. При исключительно вычислительной нагрузке сервер может выглядеть работающим и при проблемах с диском.

    PS А ещё вспомнил - могли быть проблемы из-за неработоспособности службы Eventlog или из-за того, что она не имела доступа к файлам журнала (помнится, в стародавние времена была хакерская программа, которая умела закрывать описатели этих файлов, чтобы прекратить регистрацию событий).


    Слава России!

    • Помечено в качестве ответа Svid_off 7 октября 2015 г. 13:14
    7 октября 2015 г. 13:05