我正在尝试使用任务计划程序来监视位于 Windows 2008 R2 服务器上 DMZ 中的 AD FS 2.0 代理上的 AD FS 2.0 事件日志。我正在尝试监视日志中的特定事件 ID 和数据。我知道格式有效,因为我能够使用以下手动查询在应用程序日志中触发任务:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=2) and (EventID=1)]]
and
*[EventData[(Data='Testing')]]
</Select>
</Query>
</QueryList>
如果我使用EVENTCREATE,我可以用以下命令创建一个测试事件来测试上述计划任务:
EventCreate /ID 1 /L APPLICATION /T Error /SO Test /D "Testing"
我还可以使用 AD FS 2.0 日志通过以下查询触发计划任务(并且有效):
<QueryList>
<Query Id="0" Path="AD FS 2.0/Admin">
<Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]</Select>
</Query>
</QueryList>
然而,当我尝试查询特定的“数据”从日志中可以看出,计划任务不再被触发。以下查询失败:
<QueryList>
<Query Id="0" Path="AD FS 2.0/Admin">
<Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]
and
*[EventData[(Data='Could not connect')]]
</Select>
</Query>
</QueryList>
(我似乎不知道如何使用活动创建使用 AD FS 2.0 日志,我认为日志路径无法正常工作活动创建,所以我无法生成测试事件)
无论如何,我在 AD FS 计划任务查询中使用的查询格式与我在应用程序日志测试查询中使用的格式完全相同(并且该格式有效,因此似乎“事件数据” 确实有效)。我知道我有正确的日志路径,因为当我不使用“事件数据”我唯一能想到的就是这是微软的一个漏洞或者其他什么,事件数据当日志位于“应用程序和服务日志”树下时,Windows 日志的查询可能不起作用?是否有人有创建计划任务事件日志查询的经验?如果有,我该如何查询 Windows 事件日志(不是普通的应用程序、系统或标准日志,但我想查询其他“硬件事件”、“Windows PowerShell”类型日志)事件数据数据?
谢谢