Estou com um problema ao tentar usar um diário de log personalizado para armazenar eventos encaminhados (por assinatura) em um servidor Windows 2008 R2, sendo o log personalizado descrito como não sendo um "log de destino válido".
Atualmente, estou configurando uma arquitetura para centralizar eventos do Windows usando os recursos internos de encaminhamento e coleta de eventos (via gerenciamento WS e wecutil).
Um dos meus requisitos é poder criar várias assinaturas na máquina coletora e armazenar eventos encaminhados em diferentes arquivos de log. Para isso, testei a criação de um log personalizado (chamado CustomLog). Esse log aparece no Visualizador de Eventos, na categoria "Logs de aplicativos e serviços".
No entanto, não consigo redirecionar eventos encaminhados para este CustomLog. O CustomLog não aparece na lista de destinos possíveis ao criar uma assinatura na interface com o usuário do Event Viewer.
Para tentar o que poderia estar errado, eu o deixei com o ForwardedEvents padrão como destino e tentei alterá-lo via Powershell. Executei o seguinte comando, que deve definir o log de destino como CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
Funcionou sem erro. No entanto, nenhum evento é registrado no CustomLog e, quando eu volto à GUI para criar / modificar assinaturas e tento abrir a assinatura que defini, recebo um pop-up informando o seguinte:
O log de destino definido nesta assinatura não pode ser encontrado na lista de logs de destino válidos neste computador. verifique se esse log existe no computador e é válido como destino para eventos encaminhados. Observe que os logs clássicos, os analíticos e de depuração e o log de segurança não podem ser usados como destino.
Alguém sabe o que é um "registro de destino válido" e como eu poderia transformar meu CustomLog em um destino tão válido?