Compartilhar via

Logs no Event Forwarding faltando informação

Anônima
2023-12-18T16:51:22+00:00

Boa tarde,

Gostaria de uma ajuda, no caso temos um servidor Windows que está enviando logs com algumas informaçãoes faltando, e quando entramos no event viewer > security e procuramos o ID do evento ele está completo, porém quando ele vai pro event foward é encaminhado com dados faltando, abaixo imagem:

os valores da Esquerda são os tirados do Event Viewer > Security e do da Direita do Event Viewer > Forwarded Event

Windows Server Áreas de trabalho remotas virtuais e remotas

Pergunta bloqueada. Essa pergunta foi migrada da Comunidade de Suporte da Microsoft. É possível votar se é útil, mas não é possível adicionar comentários ou respostas ou seguir a pergunta. Para proteger a privacidade, os perfis de usuário para perguntas migradas são anônimos.

0 comentários

2 respostas

Classificar por: Mais útil
Mais útil Mais Novo Mais Antigo
  1. Anônima
    2023-12-19T00:19:22+00:00

    Olá

    Bem vindo à Comunidade Microsoft Windows Server

    Tudo bem, Marcel? Obrigado por entrar em contato com o suporte da Microsoft. Para resolver o problema de logs faltando informações no Event Forwarding, você pode tentar as seguintes soluções:

    1. Verifique se o servidor de destino está configurado corretamente para receber os logs. Certifique-se de que as configurações de encaminhamento de eventos estejam corretas.

    2. Verifique se o filtro de eventos está configurado corretamente. Certifique-se de que o filtro não esteja excluindo eventos importantes.

    3. Verifique se o tamanho máximo do evento está configurado corretamente. Se o tamanho máximo do evento for menor do que o tamanho do evento que está sendo enviado, algumas informações podem ser perdidas.

    4. Verifique se o nível de detalhe do evento está configurado corretamente. Se o nível de detalhe estiver definido como "básico", algumas informações podem ser perdidas.

    Espero que essas soluções ajudem a resolver o problema. Se você precisar de mais ajuda, por favor, não hesite em entrar em contato novamente.

    0 comentários
  2. Anônima
    2023-12-20T14:50:46+00:00

    Boa tarde, tudo bem e com você?

    Fiz todas as verificações como havia comentado, porém sem sucesso, no caso apenas os logs do 4688 parecem estar vindo com essa falta de informação, esse server que fazemos a coleta dos logs está configurado como um WEC e um Nxlog instalado aonde encaminha os logs de outros servers Windows via Subscription para o nosso SIEM, segue abaixo mais um print da situação e de uma regra criada dentro do event viewer para capturar o evento 4688:

    A WEC está recebendo normalmente, apenas quando vai para o Fowarded e envia para o Nxlog que está com esse problema. porém o Nxlog recebe como vem do fowarded, verifiquei às configurações dele, até um tempo atrás os logs estavam vindo normalmente.

    0 comentários