Eventi in avanti di Windows Mancano i dati e la descrizione dei dati dell'utente

Ho gli events di sottoscrizione impostati per inoltrare i registri Terminal Services / LocalSessionManager / Operational di Windows Server 2008 a un'altra window della sezione Eventi in avanti 2008 del server.

L'evento di sottoscrizione è impostato con un valore HeartbeatInterval di 300 (e tuttavia richiede ancora 15 minuti).

Tuttavia, una volta che il registro viene infine passato alla versione principale di Windows Server 2008 che effettua l'evento, il raccoglitore del registro manca di informazioni.

La vista generale per l'evento inoltrato visualizza quanto segue:

Remote Desktop Services: Session reconnection succeeded: User: %1 Session ID: %2 Source Network Address: %3 

Perché queste variables non vengono compilate quando vengono inoltrate? Prima che venga inoltrata la macchina di origine mi informa l'utente e il resto delle informazioni. Ma la versione inoltrata del registro manca questo.

Visualizzazione prevista:

 Remote Desktop Services: Session reconnection succeeded: User: mydomain\myusername Session ID: 2 Source Network Address: 123.4.5.6 

Tuttavia, quando visualizzo la scheda Dettagli vengo a sapere che le informazioni sono tutte lì!

 - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>mydomain\myusername</User> <SessionID>2</SessionID> <Address>123.4.5.6</Address> </EventXML> </UserData> 

Ho inserito questo evento in nxlog solo bene.

I dati di output nxlog corrispondono a events non inoltrati. Uscita Nxlog:

 {"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"} 

Una volta che logstash riceve l'ouput da nxlog ci sono dei campi mancanti, soprattutto il field "Messaggio" contenente quello che sembra essere la vista generale del eventlog è completamente scomparsa da questi events inoltrati. Il field "messaggio" è ancora presente, ma questo include solo l'output nxlog che manca chiaramente i dettagli utente che ho bisogno.

Sia i campi "Messaggio" che "Messaggio" vengono visualizzati in logstash quando si tratta di events non eseguiti, ma gli events inoltrati mancano del field "Messaggio". Come posso risolvere questo problema?

EDIT: L'evento di sottoscrizione ContentFormat è impostato su Eventi.

  • Windows 2008 o Windows 7 interferire con una networking di server di Windows 2003
  • Colbind OS installato HD ad un altro computer
  • Come posso configurare Windows Server 2008 come NAT con una NIC?
  • Elenco indirizzi globale non aggiornato in Outlook 2010
  • Memorizzazione di immagini preziose ad alta risoluzione prima della radice
  • Windows Server 2008 Arrestare da solo
  • Come posso verificare che due server dispongano delle stesse funzioni e degli aggiornamenti installati?
  • Powerpoint mancante dalla configuration DCOM
  • One Solution collect form web for “Eventi in avanti di Windows Mancano i dati e la descrizione dei dati dell'utente”

    Credo di avere una soluzione, e non è bello.

    Dopo aver impostato il registro di destinazione nell'abbonamento a TerminalServices-LocalSessionManager / Operational, tutti i dati iniziati ad entrare in tattica nel Visualizzatore events come previsto. Non sono stati% 1,% 2,% 3, assurdità, tutte le variables sono state riempite.

    Quando nxlog ha letto gli eventlogs e logstash leggere l'output di nxlog, i campi "messaggio" e "Messaggio" erano tutti in tatto pure. Nessun dato manca e i miei parser funzionano correttamente.

    Non lo capisco, ma c'è un problema con il registro di destinazione impostato su events inoltrati. In qualche modo i dati vengono persi nel trasferimento.

    ContentFormat è stato inoltre impostato su RenderedText.

    Aggiornamento : l'impostazione a RenderedText ha risolto il problema. Il registro degli events inoltrati era anche, per impostazione predefinita, limitato a 20 MB e whereva essere aumentato. Un altro problema è che l'Abbonamento includeva i computer di dominio, incluso il server di sottoscrizione che ha portto al server di Windows in modo ricorsivo inoltrare i propri registri.

    ContentFormat si riport a RenderedText (impostazione predefinita). Impostare la dimensione del registro di destinazione a 5 GB. Escluso auto da sottoscrizione.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.