Aciona uma tarefa agendada se um evento específico for registrado no log de eventos do AD FS 2.0

Navegue suas respostas
1

Estou tentando usar o Agendador de Tarefas para monitorar um log de eventos do AD FS 2.0 em um proxy do AD FS 2.0 localizado em uma DMZ em um servidor Windows 2008 R2. Eu estou tentando monitorar o log para uma identificação de evento e dados específicos. Eu sei que o formato funciona porque eu sou capaz de acionar uma tarefa no log do aplicativo usando a seguinte consulta manual: 

    <QueryList>
      <Query Id="0" Path="Application">
        <Select Path="Application">*[System[(Level=2) and (EventID=1)]]
        and
        *[EventData[(Data='Testing')]]
        </Select>
      </Query>
    </QueryList>

Se eu usar EVENTCREATE, posso criar um evento de teste com o seguinte comando para testar a tarefa agendada acima: 

    EventCreate /ID 1 /L APPLICATION /T Error  /SO Test /D "Testing"

Também posso acionar uma tarefa agendada usando o log do AD FS 2.0 com a seguinte consulta (e funciona): 

    <QueryList>
      <Query Id="0" Path="AD FS 2.0/Admin">
        <Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]</Select>
      </Query>
    </QueryList>

No entanto, quando tento consultar também " dados " do log, a tarefa agendada não é mais acionada. A consulta a seguir falha: 

    <QueryList>
      <Query Id="0" Path="AD FS 2.0/Admin">
        <Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]
        and
        *[EventData[(Data='Could not connect')]]
        </Select>
      </Query>
    </QueryList>

(Não consigo descobrir como usar EVENTCREATE com o log do AD FS 2.0, acho que o caminho do log não funciona corretamente para EVENTCREATE , então não posso gerar eventos de teste)

De qualquer forma, estou usando exatamente o mesmo formato de consulta com a consulta de tarefa agendada do AD FS que usei com a consulta de teste de log do aplicativo (e esse formato funcionou, portanto, parece que EventData trabalhos). Eu sei que tenho o caminho correto para o log, porque a consulta para o AD FS funciona quando eu não uso " EventData ". A única coisa que posso pensar é que isso é um bug da Microsoft ou algo do tipo, onde as consultas EventData de um log do Windows não funcionarão quando o log estiver na seção "Logs de Aplicativos e Serviços", talvez? Alguém tem alguma experiência na criação de consultas de log de eventos de tarefas agendadas e, em caso afirmativo, como posso consultar o log de eventos do Windows (não os Logs normais de aplicativo, sistema ou padrão, mas quero consultar o tipo adicional de "Eventos de hardware", "Windows PowerShell") logs) para dados EventData ?

Obrigado

    
por STGdb 06.01.2015 / 19:57

0 respostas

Tags

Roteamento de pacotes da interface Linux tun Quais portas precisam estar abertas para o dnscmd.exe operar?