Вопрос или проблема
Я пытаюсь создать пользовательский журнал событий для службы Windows на Windows Server 2003. Я хотел бы назвать пользовательский журнал “(ML) Команды запуска”. Однако, когда я добавляю ключ реестра с таким именем в HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\, он добавляет журнал, но показывает те же события, что и в журнале приложений при просмотре в просмотрщике событий.
Если я добавляю ключ реестра с именем “(ML) Команды запуска 2” в журнал событий, он показывает пустой журнал событий, как и ожидалось. На самом деле, любое другое имя будет работать корректно, кроме того, которое я хочу.
Я искал в реестре другие ключи со строкой “(ML)” и удалил все другие ссылки на это имя ключа, однако я продолжаю получать объединенные результаты в просмотрщике, когда создаю ключ с этим именем.
Мой вопрос: как я могу исправить сервер, чтобы создать пользовательский журнал событий с этим именем, который будет показывать только события из моего приложения, а не события из стандартного журнала событий приложений, установленного вместе с Windows?
Обновление:
Я перезагрузил сервер, и, как ни странно, журнал начал вести себя нормально. Я получил странное сообщение об ошибке в журнале приложений:
Подсистема EventSystem подавляет дублирующие записи журнала событий в течение 86400 секунд. Время подавления можно контролировать с помощью значения REG_DWORD под названием SuppressDuplicateDuration в следующем ключе реестра: HKLM\Software\Microsoft\EventSystem\EventLog.
Дополнительную информацию см. в Центре справки и поддержки по адресу http://go.microsoft.com/fwlink/events.asp.
Я могу только надеяться, что эта ошибка не означает, что проблема вернется через 86400 секунд. Полагаю, мне придется подождать и посмотреть.
Я на самом деле не пытался использовать пользовательские журналы событий. Но я видел проблему, которую вы описываете, когда одни и те же события появляются более чем в одном журнале. Это может произойти, потому что журналы событий являются файловыми картами памяти, и если общий размер всех журналов событий превышает 300 МБ, у вас начнутся проблемы.
Смотрите вторую страницу этой статьи:
http://technet.microsoft.com/en-us/library/cc722385%28WS.10%29.aspx
>На компьютерах с Windows XP, членских серверах и автономных серверах
>совокупный размер журналов Приложений, Безопасности и Системы не должен превышать 300 МБ.
Ответ или решение
Для решения проблемы с созданием пользовательского события в журнале Windows на сервере Windows Server 2003, который автоматически объединяется с журналом "Приложение", следуйте нижеприведенной инструкции.
1. Основное понимание проблемы
Проблема заключается в том, что пользовательский журнал событий, созданный с именем "(ML) Startup Commands", отображает те же события, что и в журнале "Приложение". Это может происходить по нескольким причинам, включая настройки реестра, конфликты имен и особенности работы системы.
2. Анализ реестра
Вы уже предприняли шаги по проверке и удалению возможных конфликта в реестре. Убедитесь, что вы проверили все возможные пути, включая:
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\HKLM\Software\Microsoft\EventSystem\EventLog
Иногда название в реестре может быть закэшировано системой, что приводит к подобным проблемам.
3. Удаление ссылок и перезагрузка
Вы упомянули, что после перезагрузки сервера журнал стал работать нормально. Это подтверждает, что система потребовала обновление кеша для корректного отображения журналов. Перезагрузка может не только сбросить кеш, но и освободить ресурсы, связанные с другими экземплярами журнала событий.
4. Ошибка о подавлении дубликатов
Ошибка, которую вы получили: "The EventSystem subsystem is suppressing duplicate event log entries for a duration of 86400 seconds" указывает на то, что система пытается предотвратить внесение дублированных записей в журналы. Для решения этой проблемы:
-
Проверьте параметры
SuppressDuplicateDuration, которые находятся по путиHKLM\Software\Microsoft\EventSystem\EventLog.Вам, возможно, потребуется изменить или удалить эту запись, чтобы устранить любые временные ограничения.
5. Рекомендации по созданию нового журнала
-
При создании нового журнала убедитесь, что он не содержит конфликтного имени. Если имя "(ML) Startup Commands" вызывает проблемы, возможно, следует попробовать поменять имя на уникальное имя, чтобы убедиться, что в системе нет других ссылок на поколения журнала.
-
А также проверьте, чтобы описания и названия в других связанных системных настройках соответствовали тому, что вы хотите использовать.
6. Размер журнальных файлов
Учтите, что общий размер всех журналов (Приложение, Безопасность и Система) не должен превышать 300 МБ, как упоминается в литературе. С кризисом, связанным с падением объема памяти для журналов, это может вызвать дополнительные проблемы. Периодически проверяйте размеры журналов и удаляйте старые или ненужные записи для предотвращения перегрузки.
Заключение
Данная проблема решена, но стоит периодически мониторить ситуацию, чтобы удостовериться, что она не повторится через 86400 секунд. В случае повторения проблемы можно будет рассмотреть возможность дальнейшего изучения конфигураций журналов, включая параметры лимитов и подавления дублирующих записей.
Если этот подход не помогает, рекомендуется обратиться к официальной документации Microsoft или специализированным форумам по проблемам с журналами событий для получения дополнительной информации.