Tenho Eventos de Assinatura configurados para encaminhar os registros de Serviços de Terminal / LocalSessionManager / Operacionais do Windows Server 2008 para a seção Eventos de Encaminhamento de 2008 do servidor de outra janela.
O Evento de Inscrição é definido com um valor HeartbeatInterval de 300 (e ainda assim leva 15 minutos para ser enviado).
No entanto, depois que o log é finalmente passado para o Windows Server 2008 principal, o evento Coletando o log não contém informações.
A exibição geral do evento encaminhado exibirá o seguinte:
Remote Desktop Services: Session reconnection succeeded:
User: %1
Session ID: %2
Source Network Address: %3
Por que essas variáveis não são preenchidas quando encaminhadas? Antes de ser encaminhado, a máquina de origem informa o usuário e o restante das informações. Mas a versão encaminhada do log está perdendo isso.
Exibição esperada:
Remote Desktop Services: Session reconnection succeeded:
User: mydomain\myusername
Session ID: 2
Source Network Address: 123.4.5.6
No entanto, quando vejo a guia Detalhes, vejo que a informação está toda lá!
- <UserData>
- <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
<User>mydomain\myusername</User>
<SessionID>2</SessionID>
<Address>123.4.5.6</Address>
</EventXML>
</UserData>
Eu tenho essa entrada de evento no nxlog bem.
Os dados de saída do nxlog correspondem a eventos não encaminhados.
Saída Nxlog:
{"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}
Depois que o logstash recebe a saída do nxlog, há campos ausentes, e o campo "Mensagem" que contém o que parece ser a visão Geral do log de eventos está completamente ausente desses eventos encaminhados. O campo "message" ainda está lá, mas isso inclui apenas a saída nxlog que claramente está faltando os detalhes do usuário que eu preciso.
Os campos "Mensagem" e "mensagem" aparecem no logstash ao lidar com eventos não vencidos, mas os eventos encaminhados não possuem o campo "Mensagem". Como posso consertar isso?
EDITAR: O ContentFormat do Evento de Assinatura é definido como Eventos.