Назад | Перейти на главную страницу

События переадресации Windows без данных и описания пользователя

У меня есть события подписки, настроенные для пересылки журналов служб терминалов / LocalSessionManager / Operational Windows Server 2008 в раздел Forward Events server 2008 другого окна.

Событие подписки устанавливается со значением HeartbeatInterval, равным 300 (и тем не менее, для отправки требуется около 15 минут).

Однако, как только журнал наконец передается в основной Windows Server 2008, выполняющий событие При сборе журнала информация отсутствует.

В общем виде для перенаправленного события будет отображаться следующее:

Remote Desktop Services: Session reconnection succeeded:

User: %1
Session ID: %2
Source Network Address: %3

Почему эти переменные не заполняются при пересылке? Перед отправкой исходный компьютер сообщает мне пользователя и остальную информацию. Но в перенаправленной версии журнала этого нет.

Ожидаемый показ:

Remote Desktop Services: Session reconnection succeeded:

User: mydomain\myusername
Session ID: 2
Source Network Address: 123.4.5.6

Однако когда я просматриваю вкладку «Подробности», я вижу, что вся информация там!

- <UserData>
- <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
  <User>mydomain\myusername</User> 
  <SessionID>2</SessionID> 
  <Address>123.4.5.6</Address> 
  </EventXML>
  </UserData>

У меня есть ввод этого события в nxlog.

Выходные данные nxlog соответствуют непересылаемым событиям. Вывод Nxlog:

{"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}

Как только logstash получает выходные данные от nxlog, отсутствуют поля, наиболее важно поле «Сообщение», содержащее то, что кажется общим представлением журнала событий, полностью отсутствует в этих перенаправленных событиях. Поле «сообщение» все еще там, но оно включает только вывод nxlog, в котором явно отсутствуют нужные мне данные пользователя.

Оба поля «Сообщение» и «сообщение» появляются в logstash при работе с непереданными событиями, но в перенаправленных событиях отсутствует поле «Сообщение». Как я могу это исправить?

РЕДАКТИРОВАТЬ: Для ContentFormat события подписки установлено значение Events.

Я считаю, что у меня есть решение, и оно не очень красивое.

После настройки журнала назначения в подписке на TerminalServices-LocalSessionManager / Operational все данные начали поступать в средство просмотра событий, как и ожидалось. Не было% 1,% 2,% 3, ерунда, все переменные были заполнены.

Когда nxlog читал журналы событий, а logstash читал вывод nxlog, поля «message» и «Message» также были в исправности. Нет данных, и мои парсеры работают правильно.

Я не понимаю, но есть проблема с журналом назначения, установленным на переадресованные события. Как-то теряются данные при передаче.

ContentFormat также вернулся к RenderedText.

Обновить: Установка RenderedText решила проблему. Журнал пересылаемых событий также был по умолчанию ограничен 20 МБ, и его пришлось увеличить. Другая проблема заключается в том, что в подписку включены доменные компьютеры, в состав которых входит сам сервер подписки, в результате чего сервер Windows рекурсивно пересылает свои журналы.

ContentFormat возвращается к RenderedText (настройка по умолчанию). Увеличен размер журнала назначения до 5 ГБ. Исключено себя из подписки.