У меня Windows Server 2008 R2 настроен на получение переадресованных событий от большого количества клиентов (Windows 7 \ 8.1). Он получает события в диапазоне идентификаторов событий 8000-8006 от источника WLAN-Autoconfig (сервер не имеет источника, но его можно добавить в подписку, чтобы иметь возможность получать от этого источника).
Сервер установлен с американским английским языком и имеет норвежскую локаль \ культуру. Клиенты устанавливаются с NB-no norwegian и имеют норвежскую локаль \ культуру.
Одна из первых проблем, с которыми я столкнулся, заключалась в том, что сервер не мог правильно прочитать событие. Это дало эту ошибку:
Описание для события с кодом 8000 из источника Microsoft-Windows-WLAN-AutoConfig не найдено. Либо компонент, вызывающий это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.
Если событие возникло на другом компьютере, отображаемую информацию нужно было сохранить вместе с событием.
Это не было большой проблемой, поскольку объект события и контент все еще поступали и могли использоваться для той цели, для которой они были собраны.
Но позже, когда я пытался написать Powershell-скрипт для получения и фильтрации этих событий, я столкнулся с несколькими проблемами.
Сначала я попробовал этот метод:
Get-WinEvent -ComputerName $ServerName -FilterHashtable @{logname = 'ForwardedEvents'; id = 8000, 8001, 8002, 8003; StartTime = $StartDate; EndTime = $EndDate } -MaxEvents 3
Но этот запрос не дал значений. Удаление «StartTime» и «EndTime» из фильтра по какой-то причине заставило его работать. Убедившись, что опция «-FilterHashTable» не работает, я попытался использовать опцию «-FilterXML», но для этого мне пришлось создать фильтр в журнале событий, чтобы найти синтаксис.
Я вошел на сервер, открыл средство просмотра событий и создал настраиваемое представление из журнала ForwardedEvents со следующими параметрами:
Журнал = ForwardedEvents
ID = 8000-8003
StartTime = SomeDate
EndTime = SomeDateLater
И, к моему удивлению, он не вернул НИКАКИХ СОБЫТИЙ, хотя я вижу много событий, которые должны соответствовать этому фильтру в журнале событий.
Попробовав разные фильтры, я получил следующие результаты:
Тест 1
Журнал: ForwardedEvents
ID: 8000-8003
Дата начала: не заполнено
EndDate: заполнено
Результат: получает все результаты (даже после EndDate)
Тест 2
Журнал: ForwardedEvents
ID: 8000-8003
Дата начала: заполнено
EndDate: не заполнено
Результат: нет результатов
Тест 3
Журнал: ForwardedEvents
Идентификаторы: все идентификаторы событий
Дата начала: заполнено
EndDate: не заполнено
Результат: получает события с идентификатором 111 (который, я думаю, является уведомлением о начале подписки для новых клиентов).
Тест 4
Журнал: ForwardedEvents
Идентификаторы: все идентификаторы событий
Дата начала: заполнено
EndDate: заполнено
Результат: получает события с идентификатором 111 (который, я думаю, является уведомлением о начале подписки для новых клиентов).
Тогда мой вопрос:
Почему это происходит и как это исправить?