Windows Forward Events Missing User Data и описание
Параллель GNU может сделать это легко:
find . -type f | parallel "gzip -c {} | ssh server \"cat>{}.gz\""
который однако также найдет и отправит файлы в каталогах ниже начального каталога.
или поочередно если Вы хотите отправить просто все регулярные файлы в единственном каталоге:
parallel "gzip -c {} | ssh server \"cat>{}.gz\"" ::: *
Я считаю, что у меня есть решение, и оно не очень хорошее.
После установки журнала назначения в Подписке на TerminalServices-LocalSessionManager / Operational все данные начали поступать в Событии. Зритель, как и ожидалось. Не было% 1,% 2,% 3, ерунда, все переменные были заполнены.
Когда nxlog читал журналы событий, а logstash читал вывод nxlog, поля «message» и «Message» также были в исправности. Данные отсутствуют, и мои парсеры работают правильно.
Я не понимаю, но есть проблема с журналом назначения, установленным на переадресованные события. Каким-то образом данные теряются при передаче.
ContentFormat также был установлен обратно на RenderedText.
Обновление : установка его на RenderedText решила проблему. Журнал перенаправленных событий также по умолчанию был ограничен 20 МБ и должен быть увеличен. Другая проблема - это доменные компьютеры, включенные в подписку, в которую входил сам сервер подписки, что привело к тому, что сервер Windows рекурсивно пересылал свои журналы.
ContentFormat вернулся к RenderedText (настройка по умолчанию). Увеличен размер журнала назначения до 5 ГБ. Я исключен из подписки.