none
сборщик событий RRS feed

  • Вопрос

  • Приветствую!

    Настроен централизованный сбор событий с большой кучи серверов. Сборщик под Win Server 2012 (рус). Собития летят с Win 2003, 2008, 2008R2, 2012, Все отлажено и работает. Но есть одна загвоздка. Текст сообщений не корректно отображается от событий прилетевших от английских версий систем и от Win 2008 не R2 (и рус. и англ.)

    Пример нормального отображения сообщения:

    1) Службы удаленных рабочих столов: Успешная проверка подлинности пользователя:
    Пользователь: ivanov
    Домен: DOMAIN
    Адрес источника сети: 192.168.5.5

    2) Выполнена попытка получения доступа к объекту.
    Субъект:
        ИД безопасности:        S-1-5-21-3128605808-2121419931-2747316688-19277
        Имя учетной записи:        ivanov
        Домен учетной записи:        DOMAIN
        Код входа:        0x5FA176FE2

    Сведения о процессе:
        Идентификатор процесса:    0x4
        Имя процесса:    
    Сведения о запросе на доступ:
        Операции доступа:    DELETE
     Маска доступа:    0x10000

    Пример ненормального отображения сообщения:

    1) Службы удаленных рабочих столов: Успешная проверка подлинности пользователя:
    Пользователь: %1
    Домен: %2
    Адрес источника сети:%3

    2) Выполнена попытка получения доступа к объекту.
    Субъект:
        ИД безопасности:        S-1-5-21-3128605808-2121419931-2747316688-19277
        Имя учетной записи:        ivanov
        Домен учетной записи:        DOMAIN
        Код входа:        0x5FA176FE2

    Сведения о процессе:
        Идентификатор процесса:    0x4
        Имя процесса:    %12
    Сведения о запросе на доступ:
        Операции доступа:    %9
        Маска доступа:    %10

    Я знаю, что в журнал записываются не сами события, а их идентификаторы (%1, %2 и т.д.) Сам текст находится в файле EventLogMessages.dll (для основной массы событий) и подствавляется оттуда в сообщение, согласно этих идентификаторов.

    И если открыть evt(x) файл от англ. ОС в русской ОС и наоборот, то текст событий должен отобразиться нормально. Идентификаторы ведь одинаковые. Надеюсь, мысль понятна ). Вот такая, собственно, проблемка...

    10 октября 2013 г. 23:45