上周末,一台服务器崩溃了,在调查过程中,我注意到在故障发生前,我们在应用程序日志中看到了大量特定事件。为了了解发生了什么,我向该事件附加了一个任务,如果再次发生,就给我发送电子邮件。
我整个周末都在收到电子邮件,从周五晚上到现在已收到大约 200 封电子邮件,而且还在不断有邮件到达。
今天早上我登录了服务器并打开了事件查看器,但在日志查看器中看不到该事件的任何新实例。
如果我按事件 ID 进行过滤,我可以看到上周的一系列事件,但是看不到此后的任何事件。
Get-Eventlog 显示的内容与 GUI 查看器相同,即没有这些事件的记录,但我仍然收到生成的电子邮件。
据我所知,其他一切似乎都按预期记录。
这是在 ESXi 集群中运行的 Server 2008 R2 盒,具有最新更新等。工具与 ESXi 保持同步(虽然我想我会迁移到 10.0.5)。
编辑: WEVTUTIL qe 应用程序 >>ApplicationLog.log
我现在可以看到触发该事件的日志。仍然不知道为什么这些日志没有显示在查看器中。
答案1
这很可能是 EventLog 删除旧项目的默认设置。