Практические рекомендации по устранению проблемы с зависаниями операционной системы Windows Server 2012 R2.

Windows Server 2012 R2 – одна из самых популярных операционных систем для серверов в настоящее время. Она обладает множеством полезных функций и настроек, которые позволяют эффективно управлять серверами и обеспечивать их безопасность. Однако, не все пользователи знают, что иногда возникают проблемы с висящими системами. В этой статье мы расскажем, как решить данную проблему и вернуть сервер в рабочее состояние.

Одной из самых распространенных причин висящих Windows Server 2012 R2 является заполнение журналов системы. Журналы системы (event logs) – это записи о различных событиях, происходящих в операционной системе. В этих помощникжурналах содержатся важные сведения о произошедших событиях и ошибках, которые могут помочь выявить причины возникновения проблем на сервере.

Как правило, журналы заполняются различной информацией, которая может быть полезной при анализе состояния системы. Однако, в некоторых случаях журналы могут заполняться слишком быстро, что может привести к созданию огромных журналов размером в сотни гигабайт. Такая ситуация часто приводит к зависанию системы и выходу ее из строя.

Работаем с журналами посредством запросов SQL

При работе с Windows Server 2012 R2 мы иногда сталкиваемся с проблемой висящих систем и необходимостью анализировать журналы для определения причины проблемы. В данном разделе мы рассмотрим, как работать с журналами посредством запросов SQL.

Для начала, нам потребуется использовать командную строку PowerShell. Открываем PowerShell и вводим следующую команду:

Get-WinEvent -LogName "Application" -MaxEvents 100 | where {$_.ProviderName -match "esent"}

Эта команда позволяет нам получить все события из журнала «Application», связанные с службой «esent».

Полученные результаты можно анализировать и искать причину проблемы. В каждом событии есть источник, идентификатор, дата и время, описание и разрешение проблемы (если есть).

Например, если в журнале «Application» у нас есть событие с идентификатором 326 и источником «ESENT», мы можем открыть командную строку PowerShell и выполнить следующую команду:

Get-WinEvent -LogName "Application" -FilterXPath "*[System[EventID=326 and Provider[@Name='ESENT']]]" | Format-List -Property *

Эта команда позволяет нам получить все события с идентификатором 326 и источником «ESENT» из журнала «Application» для дальнейшего анализа.

Также мы можем использовать запросы SQL для работы с журналами. Например, мы можем выбрать последние 100 событий с источником «ESENT» из журнала «Application» следующим образом:

SQL-запрос	Описание
SELECT TOP 100 * FROM Win32_NTLogEvent WHERE Logfile = 'Application' AND SourceName = 'ESENT' ORDER BY TimeWritten DESC	Выбрать последние 100 событий из журнала «Application» с источником «ESENT».

Также можем ограничить выборку по временному интервалу:

SQL-запрос	Описание
SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Application' AND SourceName = 'ESENT' AND TimeWritten >= '2021-01-01T00:00:00Z' AND TimeWritten <= '2021-12-31T23:59:59Z'	Выбрать все события из журнала «Application» с источником «ESENT», написанные за 2021 год.

Используя запросы SQL, мы можем более гибко и точно анализировать журналы и находить причину проблемы.

Заполняющие запросы в журналы могут быть многочисленными, например, проблема с системой, размером журналов или настройками приложения. Ваша задача как администратора будет состоять в анализе событий в журнале и выяснении, что их заполняет, чтобы найти и устранить причину проблемы.

В этом разделе мы рассмотрели, как работать с журналами посредством запросов SQL, используя PowerShell. С помощью таких запросов мы можем проанализировать последние события, идентифицировать проблему и найти решение для устранения возникших проблем на Windows Server 2012 R2.

ESENT события с ID 327 и 326 заполняют журнал приложений

В операционных системах Windows Server 2012 R2 иногда возникает проблема заполнения журнала приложений большим количеством событий ESENT с ID 327 и 326. Эти события заполняют журнал и могут привести к уменьшению производительности системы и ограничению доступа к другим важным записями журнала.

Причина заполнения журнала событиями ESENT с ID 327 и 326 может быть связана с ошибками в базе данных ESENT или некорректными настройками приложения. Симптомы этой проблемы включают постоянное заполнение журналами, высокую загрузку ЦП и увеличение размера файлов журналов.

Если вы столкнулись с этой проблемой, следуйте решению, описанному ниже:

1. Используйте PowerShell для анализа журналов событий ESENT. Выполните следующую команду в командной строке:

   Get-WinEvent -LogName Application -max 100 | where {$_.ProviderName -match "ESENT"}

2. В результате выполнения этой команды вы увидите последние события ESENT в журнале приложений. Изучите их описание, чтобы определить причину заполнения журналов.
3. Если в описании события указан источник «samsung» или «sql», причиной заполнения журналов может быть несовместимость с некорректными драйверами samsung или sql. Попробуйте обновить драйверы или удалить подозрительные программы.
4. Если в описании события указано «росчет датчика», причина может быть связана с неправильными настройками системы. Проверьте настройки системы и выполните необходимые действия по их корректировке.
5. Если причина заполнения журналов не является очевидной, попробуйте использовать резервную копию базы данных ESENT для восстановления системы в рабочем состоянии.
6. Если ни одно из вышеперечисленных решений не помогло решить проблему, обратитесь в службу поддержки или обратитесь к сообществу пользователей Windows Server для получения дополнительной помощи.

Решение проблемы с постоянным заполнением журналов событий ESENT с ID 327 и 326 в операционных системах Windows Server 2012 R2 может потребовать выполнения нескольких уточняющих действий. Следуйте указанным инструкциям для определения причины заполнения журналов и применения соответствующего решения.

Журналы и командная строка

Как правило, проблемы с висящими Windows Server 2012 R2 могут быть решены посредством анализа журналов и использования командной строки. Журналы предоставляют информацию о различных симптомах и причинах, которые могут привести к висящим системам.

В Windows Server 2012 R2 существует несколько типов журналов, которые могут быть полезны при решении проблем. Один из таких журналов — журнал приложений и служб Windows. В этом журнале содержится информация о событиях, связанных с запуском и работой приложений и служб. Чтобы узнать больше о конкретных событиях в этом журнале, вы можете воспользоваться командой eventvwr в командной строке.

Еще одним журналом, который можно использовать для решения проблем, является журнал системных событий. В нем содержатся информация об ошибках и предупреждениях, возникающих в системе. Используйте команду eventvwr для открытия этого журнала и просмотра его содержимого.

Также стоит обратить внимание на журналы Windows PowerShell. В них можно найти информацию о выполненных командах и их результаты. Воспользуйтесь командой Get-EventLog в PowerShell, чтобы получить доступ к этим журналам.

Еще одним полезным инструментом анализа журналов является служба SQL Server для заполняющих запросов. Это позволяет выполнить запросы на журналы Windows, такие как Esent и Application, и получить информацию о размере журналов, заполняющих запросов и других событиях.

Помимо журналов, вы можете использовать командную строку и для решения проблем и анализа симптомов, вызывающих зависания системы. Используйте команды tasklist и taskkill для получения списка запущенных процессов и завершения нежелательных процессов.

Работа с журналами и командной строкой позволит вам получить ценную информацию о причинах и симптомах висящей системы Windows Server 2012 R2. Используйте все доступные инструменты и ресурсы для нахождения и устранения проблемы.

Resolution

Чтобы решить проблему с висящими Windows Server 2012 R2, необходимо выполнить ряд действий, используя различные инструменты и методы. В данном разделе описано решение проблемы с висящими серверами, связанное с заполнением журналов событий и базы данных SQL Server.

Шаг 1: Проверка журналов событий

Первым шагом необходимо проанализировать журналы событий Windows Server 2012 R2, чтобы выяснить причину висящей системы. Следуйте этим инструкциям для анализа журналов событий:

1. Откройте «Журнал событий» в «Командной строке» или «PowerShell».
2. В журнале выберите «Система» или «Приложение», в зависимости от того, в каких журналах заполняются события.
3. Запустите команду Get-EventLog -LogName System -Newest 326 или Get-EventLog -LogName Application -Newest 327, чтобы получить последние 326 или 327 событий в журнале.
4. Анализируйте журналы событий, обращая внимание на любые сообщения об ошибках, предупреждения или другие симптомы проблемы.

Шаг 2: Использование PowerShell для решения проблемы

Если в журналах событий обнаружены сообщения об ошибках, проблема может быть связана с конкретным приложением или службой. Используйте следующие инструкции для решения проблемы через PowerShell:

1. Откройте «Командную строку» или «PowerShell».
2. Определите источник проблемного события, который указан в журнале.
3. Выполните поиск в Интернете о возможных причинах и решениях связанных с этим источником проблемы.
4. Если найденное решение включает выполнение команды PowerShell, выполните ее и проверьте, решается ли проблема.

Шаг 3: Очистка журналов событий и базы данных SQL Server

Если проблема связана с заполнением журналов событий или базы данных SQL Server, выполните следующие действия для их очистки:

Шаг	Описание
1	Откройте «Командную строку» или «PowerShell».
2	Выполните команду wevtutil cl System для очистки журнала «Система».
3	Выполните команду wevtutil cl Application для очистки журнала «Приложение».
4	Выполните команду sqlcmd -S .\SQLEXPRESS -d master -Q "TRUNCATE TABLE [имя_таблицы]" для очистки определенной таблицы в базе данных SQL Server.

Замените «[имя_таблицы]» на имя таблицы, которую хотите очистить.

Шаг 4: Проверка наличия обновлений Windows Server 2012 R2

Если проблема все еще не решена, убедитесь, что ваша система имеет последние обновления Windows Server 2012 R2. Для проверки наличия обновлений выполните следующие действия:

1. Откройте «Панель управления» на вашем сервере.
2. Перейдите в раздел «Обновление и безопасность».
3. Нажмите на кнопку «Проверить наличие обновлений».
4. Установите все доступные обновления и перезапустите сервер, если требуется.

После выполнения всех этих шагов, требуется перезагрузить сервер и проверить, решается ли проблема с висящими Windows Server 2012 R2.

ESENT Event ID 327 и 326 заполняют журнал приложения

Проблема с заполнением журнала приложения Windows Server 2012 R2 событиями ESENT Event ID 327 и 326 может вызвать неудобство и затруднить анализ других событий в журнале. В этом разделе мы рассмотрим симптомы, причины и разрешение этой проблемы.

Симптомы

Если ваш журнал приложения заполняется событиями ESENT Event ID 327 и 326, вы можете заметить следующие симптомы:

• Журнал приложения заполняется большим количеством событий ESENT Event ID 327 и 326;
• Журнал приложения становится очень большим размером и может занять большое пространство на диске;
• Анализ других событий в журнале становится затрудненным из-за заполнения событиями ESENT Event ID 327 и 326.

Причина

Причиной заполнения журнала приложения событиями ESENT Event ID 327 и 326 может быть проблема с базой данных ESENT. ESENT (от англ. Extensible Storage Engine) – это база данных, которая используется в системах Windows для хранения различных данных, таких как настройки, журналы запросов и другие.

Решение

Для решения проблемы с заполнением журнала приложения событиями ESENT Event ID 327 и 326 вы можете использовать следующие шаги:

1. Откройте командную строку с правами администратора.
2. Выполните следующую команду для запуска Powershell в режиме администратора:
   powershell
3. Посредством следующей команды выполните анализ журналов ESENT:
   Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='ESENT'; Id=327}| `
Select-Object -Property *, @{Label='Event_Description'; Expression={ if ($_.Properties[1].Value -eq ''){ $_.Message } else { $_.Properties[1].Value } }}| Format-Table -Wrap
4. Определите причину заполнения журнала. Возможными причинами могут быть:
   • Неправильные настройки базы данных ESENT;
   • Проблемы с датчиком внешнего жесткого диска;
   • Проблемы с SQL-сервером (в случае использования SQL-сервера).
5. После определения причины заполнения журнала, примените соответствующие действия для ее разрешения. Например, вы можете изменить настройки базы данных ESENT, заменить или перезагрузить датчик внешнего жесткого диска или обратиться к службе поддержки SQL-сервера.

Если вы работаете со службой Samsung PC (Samsung Settings Service) или с другим приложением, которые могут вызывать события ESENT Event ID 327 и 326, вы можете обратиться к поддержке соответствующего приложения для получения дополнительной информации и решения проблемы.

Причина

Когда журналы событий заполняются до определенного размера, система может начать вести себя нестабильно и приводить к зависаниям. Поэтому, чтобы выяснить, является ли заполнение журналов причиной проблемы, необходимо проанализировать содержимое журналов и определить, есть ли там какие-либо ошибки или предупреждения, связанные с зависаниями системы.

Для анализа журналов событий в Windows Server 2012 R2 можно использовать различные инструменты, такие как командная строка, PowerShell или графический интерфейс.

Симптомы и их анализ

Один из способов определить, является ли заполнение журналов причиной проблемы, — это анализ последних событий в журналах. Для этого можно использовать команду в командной строке:

eventvwr

Затем, выбрав нужный журнал (например, Журнал приложений или Журнал системы), необходимо прокрутить список событий и обратить внимание на последние записи. Если в журналах есть события с ошибками, предупреждениями или другими отметками, связанными с зависаниями системы, это может указывать на проблему с заполнением журналов.

Другой способ анализа журналов событий — использование PowerShell. В PowerShell можно выполнить следующую команду:

Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2; StartTime=(Get-Date).AddDays(-1)}

Эта команда извлекает события из журнала приложений, имеющие уровень предупреждения (2) и созданные в течение последних 24 часов. Результатом будет список событий с информацией о времени, источнике, идентификаторе и описании события. При анализе результатов команды нужно обратить внимание на источник и описание события, чтобы определить, является ли оно связанным с зависанием системы.

Решение проблемы

Если вы установили, что заполнение журналов является причиной проблемы с висящими Windows Server 2012 R2, то есть несколько способов решения этой проблемы.

Первым способом является увеличение размера журналов событий. Для этого можно воспользоваться командной строкой и выполнить следующую команду:

wevtutil set-log [лог] /maxsize:[размер]

Где [лог] — это название журнала (например, Application), а [размер] — это новый размер журнала в КБ (например, 32768 для 32 МБ). После увеличения размера журнала система будет иметь больше места для записи событий и будет менее подвержена заполнению.

Вторым способом решения проблемы может быть очистка журналов событий. Для этого можно воспользоваться командой в командной строке:

wevtutil clear-log [лог]

Где [лог] — это название журнала, который нужно очистить (например, Application). Однако, перед выполнением этой команды стоит убедиться, что необходимые события журналов были сохранены или заархивированы, так как после выполнения команды они будут удалены без возможности восстановления.

Наконец, третьим способом является изменение настроек журналов событий. Для этого нужно открыть свойства журнала событий (например, Журнал приложений) в программе «Просмотр событий» и изменить настройки размера журнала, хранения событий и фильтрации событий по определенным критериям. Это позволит более эффективно управлять заполнением журналов и предотвращать зависания системы.

Важно отметить, что проблема с висящими Windows Server 2012 R2 может иметь различные причины и решение проблемы с заполнением журналов не всегда будет являться единственным и достаточным способом решения. Поэтому, если проблема сохраняется после применения рекомендованных решений, возможно, потребуется провести дальнейший анализ системы и проблемы с помощью других инструментов и подходов.

Вертим логи как хотим ― анализ журналов в системах Windows

Симптомы

Перед тем как приступить к анализу журналов, необходимо определить типичные симптомы проблемы, чтобы сфокусироваться на соответствующих событиях журналов:

• Висящая система, при которой сервер перестает отвечать на запросы;
• Ошибка при запуске службы, например, службы SQL или приложения;
• Повторное возникновение проблемы после ее временного решения.

Анализ журналов событий

Для анализа журналов событий в системах Windows можно использовать утилиту Event Viewer.

1. Откройте Event Viewer и перейдите в раздел «Windows Logs» (Журналы Windows).

2. Раздел «Application» (Приложения) содержит информацию о событиях, связанных с приложениями.

3. Раздел «System» (Система) содержит информацию о событиях, связанных с работой самой системы.

4. Раздел «Security» (Безопасность) содержит информацию о событиях, связанных с безопасностью системы.

Примеры событий в журнале

В следующем примере рассмотрим события в журнале «Application» (Приложения) и их анализ.

Событие с идентификатором 327 описывает ошибку заполнения базы данных ESENT:

Source: ESENT

Event ID: 327

Description: ESENT fill process has been terminated due to long running transactions of a non Cannot allocate a new page for database ‘C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue\mail.que’.

Событие с идентификатором 326 описывает ошибку заполнения базы данных ESENT:

Source: ESENT

Event ID: 326

Description: ESENT fill process has been terminated due to long running transactions of a non Cannot allocate a new page for database ‘C:\Windows\Tasks\SCHEDLGU.TXT’.

Таким образом, причина проблемы может быть связана с долгими транзакциями в базе данных ESENT, которые приводят к исчерпанию ресурсов и ошибкам заполнения.

Решение проблемы

Решение данной проблемы может включать в себя следующие шаги:

1. Проверьте наличие последних обновлений для Windows Server 2012 R2 и установите их.
2. Проверьте настройки базы данных ESENT и увеличьте ее размер, если это необходимо.
3. Мониторьте активность базы данных ESENT и обращайте внимание на источники долгих транзакций.
4. Оптимизируйте работу приложений, которые используют базу данных ESENT.

Анализ журналов событий позволяет выявить причины возникновения проблем в системах Windows и принять необходимые меры для их решения.

Видео:

How To Restore Windows Server 2012 Disaster Recovery

How To Restore Windows Server 2012 Disaster Recovery by Eng.Mahmoud Enan 9,332 views 2 years ago 9 minutes, 56 seconds