Windows转发事件缺less用户数据和说明

我有订阅事件设置为转发Windows Server 2008的terminal服务/ LocalSessionManager /操作日志到另一个窗口的服务器2008年的转发事件部分。

订阅事件设置为HeartbeatInterval值为300（但仍需要15分钟左右才能发送）。

但是，一旦日志最终传递到主要的Windows Server 2008做事件收集日志是缺less信息。

转发事件的常规视图将显示以下内容：

• Bosun – Logstash连接
• 用logstashparsinglog4j日志文件
• logstash：有没有办法在/etc/logstash/conf.d中使用多个configuration文件时查看完整的运行configuration？
• 麻烦引入CloudWatch数据到Logstash
• 在SELinux下运行logstash

Remote Desktop Services: Session reconnection succeeded: User: %1 Session ID: %2 Source Network Address: %3 

为什么转发时这些variables没有填写？ 在它被转发之前，源机器告诉我用户和其余的信息。 但是转发的日志版本缺less这个。

预期展示：

 Remote Desktop Services: Session reconnection succeeded: User: mydomain\myusername Session ID: 2 Source Network Address: 123.4.5.6 

但是，当我查看“详细信息”选项卡时，我发现信息全部在那里！

 - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>mydomain\myusername</User> <SessionID>2</SessionID> <Address>123.4.5.6</Address> </EventXML> </UserData> 

我有这个事件inputnxlog就好了。

nxlog输出数据与未转发的事件匹配。 Nxlog输出：

 {"EventTime":"2014-05-21 12:49:35","Hostname":"myhostname.mywebsite.org","Keywords":1152921504606846976,"EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":25,"SourceName":"Microsoft-Windows-TerminalServices-LocalSessionManager","ProviderGuid":"{5D896912-022D-40AA-A3A8-4FA5515C76D7}","Version":0,"Task":0,"OpcodeValue":0,"RecordNumber":89,"ProcessID":532,"ThreadID":3316,"Channel":"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"SYSTEM","AccountType":"User","Opcode":"Info","EventReceivedTime":1400691838,"SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"} 

一旦logstash从nxlog收到输出，就会丢失字段，最重要的是，包含看起来是事件日志的常规视图的“消息”字段在这些转发的事件中完全没有。 “消息”字段仍然存在，但这只包括nxlog输出，显然缺less我需要的用户详细信息。

处理非转发事件时，“消息”和“消息”字段都显示在logstash中，但转发的事件缺less“消息”字段。 我怎样才能解决这个问题？

编辑：订阅事件ContentFormat设置为事件。