我在 TechNet 论坛上没有得到任何帮助,所以我要在这里试试运气:)。
我们的 Web 服务器运行的是 Server 2008 SP1,64 位标准版。在过去一周左右的时间里,我们一直在应用程序事件日志中遇到反复损坏。每次,我们都可以通过清除日志来修复损坏。但腐败总是会卷土重来,有时在一两个小时内。
我们有一个 PowerShell 脚本,它定期检查事件日志并向我们发送有关错误事件的电子邮件。一旦日志损坏,从 PowerShell 运行“get-eventlog Application”会产生以下输出:
Get-EventLog : 无法读取日志条目号 696。事件日志可能已损坏。在 line:1 char:13
+ get-eventlog <<<< Application
通常在损坏错误之前会显示几个有效的事件日志条目。
其他事件日志(系统、安全等)没有遇到这种损坏。
如果我查看事件查看器中的应用程序日志,我会看到几个根本没有信息的事件。在列表视图中,它们显示“信息”图标,但所有其他列都是空白的。在“常规”和“详细信息”选项卡中,一切都是空白的。
我想到了磁盘损坏。但由于这只会影响事件日志,我怀疑磁盘是否是原因。服务器有一个显示健康状态的 RAID-1 阵列。写缓存被禁用。服务器上托管的所有应用程序和站点似乎都运行良好;只有事件日志有问题。
在 TechNet 上,有人回答说这听起来像是 PowerShell 问题 - 但事实并非如此,因为通过事件查看器 GUI 也可以看到损坏。
我会很感激你找到这个问题的原因的任何想法......
谢谢,
理查德
理查德
系统日志中的任何模式?
还可以尝试使用 dumprel.exe 来读取损坏的日志文件。 http://support.microsoft.com/kb/129266
试试这个补丁: http: //support.microsoft.com/kb/2701799
根据 Oskar Duveborn 的建议,尝试禁用应用程序以查看是否可以隔离导致日志损坏的应用程序。好的日志在损坏之前是否有任何模式?
硬盘驱动器或存储事件日志的位置可能有问题,从而导致损坏。请参阅kb 315417以尝试将其移动到不同的文件夹,或者更好的是,移动到不同的硬盘驱动器。至少暂时看看这是否是问题所在。