Tengo un Windows Server 2008 R2 configurado para recibir eventos reenviados de una gran cantidad de clientes (Windows 7\8.1). Recibe eventos en el rango de ID de evento de 8000-8006 desde la fuente WLAN-Autoconfig (el servidor no tiene la fuente, pero se puede agregar a la suscripción para poder recibir desde esa fuente).
El servidor está instalado en inglés estadounidense y tiene configuración regional y cultura noruega. Los clientes están instalados con NB-no noruego y tienen cultura local noruega.
Uno de los primeros problemas que encontré fue que el servidor no podía leer el evento correctamente. Dio este error:
No se puede encontrar la descripción del ID de evento 8000 del origen Microsoft-Windows-WLAN-AutoConfig. O el componente que genera este evento no está instalado en su computadora local o la instalación está dañada. Puede instalar o reparar el componente en la computadora local.
Si el evento se originó en otra computadora, la información mostrada debía guardarse con el evento.
No fue un problema mayor, ya que el objeto y el contenido del evento aún llegaron y pudieron usarse para el propósito para el que fueron recopilados.
Pero más tarde, al intentar escribir un script de Powershell para obtener y filtrar estos eventos, encontré algunos problemas.
Primero probé este método:
Get-WinEvent -ComputerName $ServerName -FilterHashtable @{logname = 'ForwardedEvents'; id = 8000, 8001, 8002, 8003; StartTime = $StartDate; EndTime = $EndDate } -MaxEvents 3
Pero esta consulta no arrojó valores. Eliminar "StartTime" y "EndTime" del filtro hizo que funcionara por alguna razón. Convencido de que la opción "-FilterHashTable" no funcionaba, intenté usar la opción "-FilterXML", pero para hacerlo tuve que crear el filtro en el registro de eventos para encontrar la sintaxis.
Inicié sesión en el servidor, abrí el visor de eventos y creé una vista personalizada desde el registro ForwardedEvents con estas opciones:
Registro = Eventos reenviados
ID = 8000-8003
Hora de inicio = Alguna fecha
Hora de finalización = alguna fecha más tarde
Y para mi sorpresa, no devolvió EVENTOS, aunque puedo ver muchos eventos que deberían coincidir con este filtro en el registro de eventos.
Probar diferentes filtros me dio estos resultados:
Prueba 1
Registro: Eventos reenviados
Identificaciones: 8000-8003
Fecha de inicio: no completada
Fecha de finalización: completada
Resultado: Obtiene todos los resultados (incluso después de la fecha de finalización)
Prueba 2
Registro: Eventos reenviados
Identificaciones: 8000-8003
Fecha de inicio: Completado
Fecha de finalización: no completada
Resultado: no obtiene resultados
Prueba 3
Registro: Eventos reenviados
ID: todos los ID de eventos
Fecha de inicio: Completado
Fecha de finalización: no completada
Resultado: Obtiene eventos con ID 111 (que creo que es la notificación de inicio de suscripción para nuevos clientes)
Prueba 4
Registro: Eventos reenviados
ID: todos los ID de eventos
Fecha de inicio: Completado
Fecha de finalización: completada
Resultado: Obtiene eventos con ID 111 (que creo que es la notificación de inicio de suscripción para nuevos clientes)
Mi pregunta es entonces:
¿Por qué sucede esto y cómo puedo solucionarlo?