另一个Microsoft问题或错误。我似乎无法获得转发事件日志显示事件的消息。我总是在详细信息部分中得到以下内容:
The description for Event ID xxx from source AD FS Auditing cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
这只发生在另一个应用程序的“非标准”事件中(在我的情况下是ADFS)。
我做过的一些行动事项:
确保订阅位于呈现文本中: wecutil ss“订阅名称”/ cf:RenderedText
从源服务器应用程序(ADFS)复制所有DLLS并将其放在收集器服务器中的相同路径
在HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ eventlog \ Forwarded Events中创建了一个注册表项(注意我无法创建新的事件日志,这是创建订阅时接受的目标,另一个是Windows限制)。
为指向DLL的EventMessageFile的每个Source / Providers和注册表值添加了注册表项
我还尝试将 RenderedText 转换回事件,以防上述步骤修复它,但事实并非如此。
任何人都可以识别发生了什么吗?我只是不明白为什么Event Log不只是像syslog那样转发消息文本;这一切似乎都是不必要的复杂化。