Eventos do Windows Forward faltando dados do usuário e descrição

Navegue suas respostas
3

Tenho Eventos de Assinatura configurados para encaminhar os registros de Serviços de Terminal / LocalSessionManager / Operacionais do Windows Server 2008 para a seção Eventos de Encaminhamento de 2008 do servidor de outra janela.

O Evento de Inscrição é definido com um valor HeartbeatInterval de 300 (e ainda assim leva 15 minutos para ser enviado).

No entanto, depois que o log é finalmente passado para o Windows Server 2008 principal, o evento Coletando o log não contém informações.

A exibição geral do evento encaminhado exibirá o seguinte: 

Remote Desktop Services: Session reconnection succeeded:

User: %1
Session ID: %2
Source Network Address: %3

Por que essas variáveis não são preenchidas quando encaminhadas? Antes de ser encaminhado, a máquina de origem informa o usuário e o restante das informações. Mas a versão encaminhada do log está perdendo isso.

Exibição esperada: 

Remote Desktop Services: Session reconnection succeeded:

User: mydomain\myusername
Session ID: 2
Source Network Address: 123.4.5.6

No entanto, quando vejo a guia Detalhes, vejo que a informação está toda lá! 

- <UserData>
- <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
  <User>mydomain\myusername</User> 
  <SessionID>2</SessionID> 
  <Address>123.4.5.6</Address> 
  </EventXML>
  </UserData>

Eu tenho essa entrada de evento no nxlog bem.

Os dados de saída do nxlog correspondem a eventos não encaminhados. Saída Nxlog: 

{"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}

Depois que o logstash recebe a saída do nxlog, há campos ausentes, e o campo "Mensagem" que contém o que parece ser a visão Geral do log de eventos está completamente ausente desses eventos encaminhados. O campo "message" ainda está lá, mas isso inclui apenas a saída nxlog que claramente está faltando os detalhes do usuário que eu preciso.

Os campos "Mensagem" e "mensagem" aparecem no logstash ao lidar com eventos não vencidos, mas os eventos encaminhados não possuem o campo "Mensagem". Como posso consertar isso?

EDITAR: O ContentFormat do Evento de Assinatura é definido como Eventos.

    
por user220643 21.05.2014 / 20:01

1 resposta

1

Acredito que tenho uma solução e não é bonita.

Depois de definir o log de destino na Assinatura para TerminalServices-LocalSessionManager / Operational, todos os dados começaram a chegar in tact no Visualizador de Eventos conforme o esperado. Não houve% 1,% 2,% 3, absurdo, todas as variáveis foram preenchidas.

Quando o nxlog leu os logs de eventos e o logstash leu a saída do nxlog, os campos "message" e "Message" também estavam todos ativos. Nenhum dado está faltando e meus analisadores estão funcionando corretamente.

Eu não entendo, mas há um problema com o registro de destino definido para eventos encaminhados. De alguma forma, os dados são perdidos na transferência.

ContentFormat também foi definido de volta para RenderedText.

Atualizar : defini-lo para RenderedText resolveu o problema. O log de Eventos encaminhados também era, por padrão, limitado a 20 MB e precisava ser aumentado. Outro problema é a Subscrição inclusa Computadores do Domínio, que incluiu o próprio servidor de Assinatura, o que levou o servidor Windows a encaminhar recursivamente seus logs.

ContentFormat é definido de volta para RenderedText (configuração padrão). Tamanho do log de destino aumentado para 5 GB. Eu excluído da assinatura.

    
por 22.05.2014 / 15:27

Tags

Como obtenho o knife para inicializar uma instância do EC2 em uma VPC pública? Precisa de ajuda para entender a captura do Wireshark?