Ich habe einen Windows Server 2008 R2 so konfiguriert, dass er weitergeleitete Ereignisse von einer großen Anzahl von Clients empfängt (Windows 7\8.1). Er empfängt Ereignisse im Ereignis-ID-Bereich 8000-8006 von der WLAN-Autoconfig-Quelle (der Server verfügt nicht über die Quelle, kann aber zum Abonnement hinzugefügt werden, um von dieser Quelle empfangen zu können).
Der Server ist mit US-Englisch installiert und hat norwegisches Gebietsschema/Kultur. Die Clients sind mit NB-no norwegisch installiert und haben norwegisches Gebietsschema/Kultur.
Eines der ersten Probleme, auf die ich stieß, war, dass der Server das Ereignis nicht richtig lesen konnte. Es trat dieser Fehler auf:
Die Beschreibung für Ereignis-ID 8000 aus der Quelle Microsoft-Windows-WLAN-AutoConfig kann nicht gefunden werden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf Ihrem lokalen Computer installiert oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Wenn das Ereignis auf einem anderen Computer entstand, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Dies stellte kein größeres Problem dar, da die Veranstaltungsobjekte und -inhalte trotzdem ankamen und für den Zweck verwendet werden konnten, für den sie gesammelt wurden.
Als ich jedoch später versuchte, ein Powershell-Skript zum Abrufen und Filtern dieser Ereignisse zu schreiben, stieß ich auf einige Probleme.
Zuerst habe ich diese Methode ausprobiert:
Get-WinEvent -ComputerName $ServerName -FilterHashtable @{logname = 'ForwardedEvents'; id = 8000, 8001, 8002, 8003; StartTime = $StartDate; EndTime = $EndDate } -MaxEvents 3
Diese Abfrage hat jedoch keine Werte zurückgegeben. Aus irgendeinem Grund funktionierte der Filter, nachdem ich „StartTime“ und „EndTime“ aus dem Filter entfernt hatte. Da ich davon überzeugt war, dass die Option „-FilterHashTable“ nicht funktionierte, versuchte ich, die Option „-FilterXML“ zu verwenden. Dazu musste ich jedoch den Filter im Ereignisprotokoll erstellen, um die Syntax zu finden.
Ich habe mich beim Server angemeldet, die Ereignisanzeige geöffnet und eine benutzerdefinierte Ansicht aus dem ForwardedEvents-Protokoll mit diesen Optionen erstellt:
Log = Weitergeleitete Ereignisse
IDs = 8000-8003
Startzeit = IrgendeinDatum
Endzeit = IrgendwannSpäter
Und zu meiner Überraschung wurden KEINE EREIGNISSE zurückgegeben, obwohl ich im Ereignisprotokoll viele Ereignisse sehen kann, die diesem Filter entsprechen sollten.
Durch Ausprobieren verschiedener Filter erhielt ich folgende Ergebnisse:
Prüfung 1
Protokoll: Weitergeleitete Ereignisse
IDs: 8000-8003
Startdatum: Nicht ausgefüllt
Enddatum: Ausgefüllt
Ergebnis: Ruft alle Ergebnisse ab (auch nach EndDate)
Prüfung 2
Protokoll: Weitergeleitete Ereignisse
IDs: 8000-8003
Startdatum: Ausgefüllt
Enddatum: Nicht ausgefüllt
Ergebnis: Erhält keine Ergebnisse
Prüfung 3
Protokoll: Weitergeleitete Ereignisse
IDs: Alle Ereignis-IDs
Startdatum: Ausgefüllt
Enddatum: Nicht ausgefüllt
Ergebnis: Ruft Ereignisse mit der ID 111 ab (was meiner Meinung nach die Benachrichtigung zum Abonnementstart für neue Kunden ist)
Prüfung 4
Protokoll: Weitergeleitete Ereignisse
IDs: Alle Ereignis-IDs
Startdatum: Ausgefüllt
Enddatum: Ausgefüllt
Ergebnis: Ruft Ereignisse mit der ID 111 ab (was meiner Meinung nach die Benachrichtigung zum Abonnementstart für neue Kunden ist)
Meine Frage ist dann:
Warum passiert das und wie kann ich es beheben?