Discussion :

[crystal_palace]

Bonjour,

Je viens de trouver les erreurs suivantes dans les logs SQL Server:

- Audit: Server Audit: 65538, State changed from: STARTED to: RUNTIME_FAILED
- Error: 33204, Severity: 17, State: 1
- SQL Server Audit could not write to the security log
- Audit: Server Audit: 65538, State changed from: RUNTIME_FAILED to: STARTED

L'audit a été configuré pour écrire dans le journal de sécurité de Windows en suivants les recommandations suivantes:

https://docs.microsoft.com/en-us/sql...l-server-ver15

J'ai également agrandi la taille du journal de sécurité à 15Gb.

Tout fonctionne normalement sauf lorsqu'il y a de grosses insertions par les ETL.

Comment faire pour éviter de perdre de l'information d'audit dans ce cas ?
Y a-t-il des paramètres qui peuvent éviter ce problème ou est-ce que la seule solution est de diminuer les volumes des informations de l'audit ?

Merci d'avance pour vos lumières !

[mikedavem]

Hello,

Quelle version de SQL Server?

Est-ce que tu as redémarré le service SQL Server pour valider le changement?

++

[crystal_palace]

Salut,

Il s'agit d'un SQL Server Standard 2019 et d'un Windows Server 2016, le problème apparait sur deux serveurs physiques de la même marque ou les firmwares sont tous à jours.

Je ne sais pas définir depuis combien de temps ce problème est apparu, car je viens de mettre en place une alerte dans les agents pour trouver certains codes d'erreurs.

https://www.brentozar.com/blitz/conf...server-alerts/

Tous les services et la machine ont été redémarrés, le plus drôle c'est que les événements sont bien écrits dans le journal sauf à certains moments...
Je pense qu'il s'agit d'un problème de performance, car cela arrive par exemple lorsqu'un etl écrit deux millions de lignes en 3min dans une base.

[mikedavem]

Tu as des erreurs dans le journal des événements Windows?

++

[crystal_palace]

Oui, j'ai l'événement suivant :

- Audit events have been dropped by the transport. 0
- Event ID: 1101

[mikedavem]

Tu n'aurais pas de redémarrage de ton serveur non prévus ? Ou éventuellement d'autres erreurs système indiquant des redémarrages ou manque de mémoire ou autre ?

++

[crystal_palace]

Salut,

@mikedavem, non pas de redémarrage de serveur non prévu ni de problème de manque de mémoire (vérifié avec un monitoring).

En revanche, je viens de réduire la taille du fichier pour le journal de sécurité que j'avais défini à 15Go.
J'ai suivi les recommandations de Microsoft qui recommande une taille maximum de 4Go par journal pour le gestionnaire d'événement.

https://docs.microsoft.com/en-US/pre...49798(v=ws.10)

Depuis, la fréquence d'apparition des événements a nettement diminué, mais n'a pas disparu.
Je vais encore essayer de réduire la taille à 2Go pour voir si cela un effet ou pas et je vous tiens au courant...