Eu tenho um Windows Server 2008 R2 configurado para receber eventos encaminhados de uma grande quantidade de clientes (Windows 7 \ 8.1). Ele recebe eventos no intervalo de ID de evento 8000-8006 da fonte WLAN-Autoconfig (o servidor não tem a fonte, mas pode ser adicionado à assinatura para poder receber dessa origem).
O servidor é instalado com o inglês dos EUA e tem o norueguês locale \ culture. Os clientes são instalados com o NB-no norwegian e possuem o norueguês locale \ culture.
Um dos primeiros problemas que encontrei foi que o servidor não pôde ler o evento corretamente. Deu este erro:
The description for Event ID 8000 from source Microsoft-Windows-WLAN-AutoConfig cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
Não foi um grande problema, uma vez que o objeto e o conteúdo do evento ainda chegaram e poderiam ser usados para o propósito em questão.
Mas depois, ao tentar escrever um script do Powershell para obter e filtrar esses eventos, descobri alguns problemas.
Primeiro, tentei este método:
Get-WinEvent -ComputerName $ServerName -FilterHashtable @{logname = 'ForwardedEvents'; id = 8000, 8001, 8002, 8003; StartTime = $StartDate; EndTime = $EndDate } -MaxEvents 3
Mas esta consulta não retornou valores. Removendo o "StartTime" e "EndTime" do filtro fez funcionar por algum motivo. Convencido de que a opção "-FilterHashTable" não funcionava, tentei usar a opção "-FilterXML", mas para isso tive que criar o filtro no log de eventos para encontrar a sintaxe.
Eu fiz o login no servidor, abri o visualizador de eventos e criei uma exibição personalizada do ForwardedEvents-log com estas opções:
Log = ForwardedEvents
IDs = 8000-8003
StartTime = SomeDate
EndTime = SomeDateLater
E, para minha surpresa, ele retornou NO EVENTS, embora eu possa ver muitos eventos que devem corresponder a esse filtro no log de eventos.
Experimentar filtros diferentes me deu esses resultados:
Teste 1
Log: ForwardedEvents
IDs: 8000-8003
StartDate: não preenchido
EndDate: preenchido
Resultado: obtém todos os resultados (mesmo passado EndDate)
Teste 2
Log: ForwardedEvents
IDs: 8000-8003
StartDate: preenchido
EndDate: não preenchido
Resultado: não obtém resultados
Teste 3
Log: ForwardedEvents
IDs: todos os IDs de evento
StartDate: preenchido
EndDate: não preenchido
Resultado: Obtém eventos com o ID 111 (que eu acho que é a notificação de início da assinatura para novos clientes)
Teste 4
Log: ForwardedEvents
IDs: todos os IDs de evento
StartDate: preenchido
EndDate: preenchido
Resultado: Obtém eventos com o ID 111 (que eu acho que é a notificação de início da assinatura para novos clientes)
Minha pergunta é:
Por que isso está acontecendo e como posso corrigi-lo?