我正在尝试使用任务计划程序来监视位于Windows 2008 R2服务器上的DMZ中的AD FS 2.0代理上的AD FS 2.0事件日志。 我正在尝试监视特定事件ID和数据的日志。 我知道格式的工作原理,因为我能够使用以下手动查询在应用程序日志中触发任务:
<QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*[System[(Level=2) and (EventID=1)]] and *[EventData[(Data='Testing')]] </Select> </Query> </QueryList> 如果我使用EVENTCREATE,则可以使用以下命令创buildtesting事件以testing上述计划任务:
EventCreate /ID 1 /L APPLICATION /T Error /SO Test /D "Testing"
我还可以使用以下查询使用AD FS 2.0日志来触发计划任务(并且工作正常):
<QueryList> <Query Id="0" Path="AD FS 2.0/Admin"> <Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]</Select> </Query> </QueryList>
但是,一旦我尝试从日志中查询特定的“ 数据 ”,计划任务也不会被触发。 以下查询失败:
<QueryList> <Query Id="0" Path="AD FS 2.0/Admin"> <Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]] and *[EventData[(Data='Could not connect')]] </Select> </Query> </QueryList>
(我似乎无法弄清楚如何在AD FS 2. 0日志中使用EVENTCREATE ,我认为EVENTCREATE的日志path不能正常工作,所以我不能生成testing事件)
无论如何,我正在使用与我的AD FS计划任务查询完全相同的查询格式,我与应用程序日志testing查询(和该格式工作,所以看起来“ EventData ”确实工作)。 我知道我具有正确的日志path,因为AD FS的查询在不使用“ EventData ”时起作用。 唯一可以想到的是,这是一个微软的bug或者什么,当日志在“应用程序和服务日志”树下时,Windows日志的EventData查询可能不会工作? 有没有人有任何创build计划任务事件日志查询的经验,如果是这样,我如何查询Windows事件日志(不正常的应用程序,系统或标准日志,但我想查询额外的“硬件事件”,“Windows PowerShell”types日志)的EventData数据?
谢谢