Eventi in avanti di Windows Mancano i dati e la descrizione dei dati dell'utente

Ho gli events di sottoscrizione impostati per inoltrare i registri Terminal Services / LocalSessionManager / Operational di Windows Server 2008 a un'altra window della sezione Eventi in avanti 2008 del server.

L'evento di sottoscrizione è impostato con un valore HeartbeatInterval di 300 (e tuttavia richiede ancora 15 minuti).

  • Servizio Windows Apache Tomcat ignorando la variabile di ambiente JAVA_HOME
  • Alternativa alla port 80 per http
  • Cosa significa get il nome di dominio puntato sul mio server dedicato (Win2008)?
  • Windows: 2 siti, 2 dc. Come ruoli di installazione?
  • Filezilla FTP upload lento (350KBps) su una fibra da 1 Gbits?
  • Utilizzando il vagabondo e lo chef per impostare un Windows VM in Ubuntu
  • Tuttavia, una volta che il registro viene infine passato alla versione principale di Windows Server 2008 che effettua l'evento, il raccoglitore del registro manca di informazioni.

    La vista generale per l'evento inoltrato visualizza quanto segue:

    Remote Desktop Services: Session reconnection succeeded: User: %1 Session ID: %2 Source Network Address: %3 

    Perché queste variables non vengono compilate quando vengono inoltrate? Prima che venga inoltrata la macchina di origine mi informa l'utente e il resto delle informazioni. Ma la versione inoltrata del registro manca questo.

    Visualizzazione prevista:

     Remote Desktop Services: Session reconnection succeeded: User: mydomain\myusername Session ID: 2 Source Network Address: 123.4.5.6 

    Tuttavia, quando visualizzo la scheda Dettagli vengo a sapere che le informazioni sono tutte lì!

     - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>mydomain\myusername</User> <SessionID>2</SessionID> <Address>123.4.5.6</Address> </EventXML> </UserData> 

    Ho inserito questo evento in nxlog solo bene.

    I dati di output nxlog corrispondono a events non inoltrati. Uscita Nxlog:

     {"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"} 

    Una volta che logstash riceve l'ouput da nxlog ci sono dei campi mancanti, soprattutto il field "Messaggio" contenente quello che sembra essere la vista generale del eventlog è completamente scomparsa da questi events inoltrati. Il field "messaggio" è ancora presente, ma questo include solo l'output nxlog che manca chiaramente i dettagli utente che ho bisogno.

    Sia i campi "Messaggio" che "Messaggio" vengono visualizzati in logstash quando si tratta di events non eseguiti, ma gli events inoltrati mancano del field "Messaggio". Come posso risolvere questo problema?

    EDIT: L'evento di sottoscrizione ContentFormat è impostato su Eventi.

  • Come meglio monitorare il logstash?
  • Elasticsearch muore quando Logstash tenta di scrivere dati
  • get i registri dall'unità systemd in file piatti e logstash
  • Come uccidere un process che non muore mai?
  • Logstash / elasticsearch smette di accettare nuovi dati
  • Come configurare un aggregatore di registro per l'authentication dei dati?
  • One Solution collect form web for “Eventi in avanti di Windows Mancano i dati e la descrizione dei dati dell'utente”

    Credo di avere una soluzione, e non è bello.

    Dopo aver impostato il registro di destinazione nell'abbonamento a TerminalServices-LocalSessionManager / Operational, tutti i dati iniziati ad entrare in tattica nel Visualizzatore events come previsto. Non sono stati% 1,% 2,% 3, assurdità, tutte le variables sono state riempite.

    Quando nxlog ha letto gli eventlogs e logstash leggere l'output di nxlog, i campi "messaggio" e "Messaggio" erano tutti in tatto pure. Nessun dato manca e i miei parser funzionano correttamente.

    Non lo capisco, ma c'è un problema con il registro di destinazione impostato su events inoltrati. In qualche modo i dati vengono persi nel trasferimento.

    ContentFormat è stato inoltre impostato su RenderedText.

    Aggiornamento : l'impostazione a RenderedText ha risolto il problema. Il registro degli events inoltrati era anche, per impostazione predefinita, limitato a 20 MB e whereva essere aumentato. Un altro problema è che l'Abbonamento includeva i computer di dominio, incluso il server di sottoscrizione che ha portto al server di Windows in modo ricorsivo inoltrare i propri registri.

    ContentFormat si riport a RenderedText (impostazione predefinita). Impostare la dimensione del registro di destinazione a 5 GB. Escluso auto da sottoscrizione.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.