После развёртывания агента System Center 2022 Operations Manager (SCOM) на серверах с ОС Windows Server 2022 может появится множественная регистрация событий с кодом Event ID 32 от источника Kernel-EventTracing в event-логе Microsoft\Windows\Kernel-EventTracing\Admin. Интенсивность регистрации событий - около трёх десятков событий в течение каждого часа. Эти события не приводят к видимым проблемам в работе самого агента SCOM, но привносят дополнительные неудобства в работе с представлением "Administrative Events" в Event Viewer, так как создают эффект "лишнего шума".
Описание этих повторяющихся событий имеет примерно одинаковое содержимое:
Log Name: Microsoft-Windows-Kernel-EventTracing/Admin
Source: Microsoft-Windows-Kernel-EventTracing
Event ID: 32
Task Category: Provider
Level: Warning
Keywords: Provider,Session
User: SYSTEM
Description:
Failed to look up debug info for provider {c85ab4ed-7f0f-42c7-8421-995da9810fdd} from process 1192230912 for session "֫뜏�fh". Error: Unknown NTSTATUS Error code: 0xcb04cc9e. Either the debug data could not be found, or the debug data is inaccessible because the image registering the provider is malformed.
Меняться при этом могут идентификаторы провайдеров отладки и внутренние коды ошибок. На разных серверах значение "NTSTATUS Error code" может быть разным, но идентификаторы провайдеров фигурируют одни и те же: "c85ab4ed-7f0f-42c7-8421-995da9810fdd", "36cd7b6e-631a-42e1-a3c0-d436ac41bc61", "c7a7ea08-da1f-4681-bbaa-5522771e0711". Описания этих провайдеров можно найти в файлах Providers.xml и TracingGuids*.txt файлах в каталоге:
C:\Program Files\Microsoft Monitoring Agent\Agent\Tools
В разделе Q&A на сайте Microsoft можно найти обсуждение этой проблемы, где даются пояснения о том, что эти события event-лога могут быть попросту проигнорированы. Для тех же, у кого есть желание избавиться от этого мусора в event-логе, предлагается отключать механизм отладки для агента SCOM.
Делается это в три шага:
- На всех серверах с Windows Server 2022 и установленным агентом SCOM, где воспроизводится проблема с повторяющимися событиями Kernel-EventTracing, добавляем следующий параметр реестра:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Tracing] "DisableAutoTracing"=dword:00000001По умолчанию ключ \Tracing отсутствует и его потребуется создать.
- В командной строке с правами администратора переходим в подкаталог установки агента SCOM, выполняем специальный командный файл отключения режимов отладки:
"C:\Program Files\Microsoft Monitoring Agent\Agent\Tools\StopTracing.cmd" - Перезапускаем службу "Microsoft Monitoring Agent" (HealthService).
Чтобы выполнить сразу все действия, можем создать командный файл *.cmd следующего содержания:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Tracing" /v DisableAutoTracing /t REG_DWORD /d 1 /f
call "C:\Program Files\Microsoft Monitoring Agent\Agent\Tools\StopTracing.cmd"
timeout 5
net stop HealthService
net start HealthService
Сразу после этого регистрация назойливых событий Kernel-EventTracing с Event ID 32 должна прекратиться.
В случае, если в дальнейшем всё же потребуется воспользоваться механизмами отладки агента SCOM, то созданный параметр реестра "DisableAutoTracing" на время сеанса отладки можно будет просто удалить. Дополнительную информацию об отладке агента SCOM можно найти в статье "Microsoft Learn : Use diagnostic tracing - Operations Manager".
RSS - Записи
Забыл отметить тот нюанс, что после развёртывания обновлений для агента SCOM (например при последующих Cumulative Update) трейс снова может включится и тогда потребуется повторная процедура отключения.