Tenho um Windows Server 2008 R2 configurado para receber eventos encaminhados de uma grande quantidade de clientes (Windows 7\8.1). Ele recebe eventos no intervalo de ID de evento 8000-8006 da fonte WLAN-Autoconfig (o servidor não possui a fonte, mas pode ser adicionado à assinatura para poder receber dessa fonte).
O servidor é instalado com inglês dos EUA e possui localidade\cultura norueguesa. Os clientes são instalados com NB-no norueguês e possuem localidade\cultura norueguesa.
Um dos primeiros problemas que encontrei foi que o servidor não conseguia ler o evento corretamente. Deu esse erro:
A descrição do Event ID 8000 da origem Microsoft-Windows-WLAN-AutoConfig não pode ser encontrada. O componente que gera esse evento não está instalado no computador local ou a instalação está corrompida. Você pode instalar ou reparar o componente no computador local.
Se o evento tiver origem em outro computador, as informações de exibição deverão ser salvas com o evento.
Não foi um grande problema, pois o objeto e o conteúdo do evento ainda chegavam e podiam ser utilizados para a finalidade para a qual foram coletados.
Mais tarde, porém, ao tentar escrever um script Powershell para obter e filtrar esses eventos, me deparei com alguns problemas.
Primeiro tentei este método:
Get-WinEvent -ComputerName $ServerName -FilterHashtable @{logname = 'ForwardedEvents'; id = 8000, 8001, 8002, 8003; StartTime = $StartDate; EndTime = $EndDate } -MaxEvents 3
Mas esta consulta não retornou valores. Remover "StartTime" e "EndTime" do filtro fez com que funcionasse por algum motivo. Convencido de que a opção "-FilterHashTable" não funcionava, tentei usar a opção "-FilterXML", mas para fazer isso tive que criar o filtro no log de eventos para encontrar a sintaxe.
Efetuei logon no servidor, abri o visualizador de eventos e criei uma visualização personalizada do log ForwardedEvents com estas opções:
Log = Eventos Encaminhados
Códigos = 8000-8003
Hora de início = alguma data
EndTime = SomeDateLater
E para minha surpresa ele retornou NO EVENTS, embora eu possa ver muitos eventos que deveriam corresponder a esse filtro no log de eventos.
Tentar filtros diferentes me trouxe estes resultados:
Teste 1
Registro: Eventos Encaminhados
IDs: 8000-8003
DataInício: Não preenchido
Data final: preenchido
Resultado: obtém todos os resultados (mesmo após EndDate)
Teste 2
Registro: Eventos Encaminhados
IDs: 8000-8003
DataInício: Preenchido
Data final: não preenchido
Resultado: não obtém resultados
Teste 3
Registro: Eventos Encaminhados
IDs: todos os IDs de eventos
DataInício: Preenchido
Data final: não preenchido
Resultado: Obtém eventos com ID 111 (que acredito ser a notificação de início de assinatura para novos clientes)
Teste 4
Registro: Eventos Encaminhados
IDs: todos os IDs de eventos
DataInício: Preenchido
Data final: preenchido
Resultado: Obtém eventos com ID 111 (que acredito ser a notificação de início de assinatura para novos clientes)
Minha pergunta é então:
Por que isso está acontecendo e como posso consertar?