Я пытаюсь использовать планировщик задач для отслеживания журнала событий AD FS 2.0 на прокси-сервере AD FS 2.0, который находится в DMZ на сервере Windows 2008 R2. Я пытаюсь отслеживать журнал для определенного идентификатора события и данных. Я знаю, что формат работает, потому что я могу запускать задачу в журнале приложений, используя следующий ручной запрос:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=2) and (EventID=1)]]
and
*[EventData[(Data='Testing')]]
</Select>
</Query>
</QueryList>
Если я использую EVENTCREATE, я могу создать тестовое событие с помощью следующей команды для проверки указанной выше запланированной задачи:
EventCreate /ID 1 /L APPLICATION /T Error /SO Test /D "Testing"
Я также могу запустить запланированную задачу с помощью журнала AD FS 2.0 со следующим запросом (и он работает):
<QueryList>
<Query Id="0" Path="AD FS 2.0/Admin">
<Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]</Select>
</Query>
</QueryList>
Однако, как только я пытаюсь также запросить конкретный "данные»Из журнала, запланированная задача больше не запускается. Следующий запрос не выполняется:
<QueryList>
<Query Id="0" Path="AD FS 2.0/Admin">
<Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]
and
*[EventData[(Data='Could not connect')]]
</Select>
</Query>
</QueryList>
(Кажется, я не понимаю, как использовать СОБЫТИЕ СОЗДАТЬ с журналом AD FS 2.0 я думаю, что путь журнала не работает должным образом для СОБЫТИЕ СОЗДАТЬ, поэтому я не могу создавать тестовые события)
В любом случае, я использую тот же формат запроса с моим запросом запланированной задачи AD FS, который я использовал с тестовым запросом журнала приложения (и этот формат работал, поэтому кажется, что «EventData" работает). Я знаю, что у меня правильный путь к журналу, потому что запрос для AD FS работает, когда я не использую "EventData». Единственное, что я могу придумать, это ошибка Microsoft или что-то в этом роде, где EventData запросы журнала Windows не будут работать, если журнал находится в дереве «Журналы приложений и служб»? Есть ли у кого-нибудь опыт создания запросов журнала событий запланированных задач, и если да, то как я могу запросить журнал событий Windows (не обычные журналы приложений, системы или стандартные журналы, но я хочу запросить дополнительные «События оборудования», тип «Windows PowerShell» журналы) для EventData данные?
Спасибо