Nagyon tetszett az új eseménynaplókkal való együttműködés a Windows 2008/7 / Vista rendszerben, az Eseménynapló továbbítás (előfizetés vagy előfizetés), amely a WinRM technológián alapul. Ez a funkció lehetővé teszi, hogy az összes eseményt minden naplóból több szerverről megkapja külső gyártó termékeinek használata nélkül, és pár perc alatt konfigurálható. Lehet, hogy ez a technológia lehetővé teszi, hogy elhagyja a Kiwi Syslog Viewer és a Splunk alkalmazást, amelyet sok rendszergazda szeret..
Tehát a séma a következő, van egy Windows 2008 szerver, amely fut gyűjtő naplók egyből vagy többből források. Előkészítő munkaként a következő 3 lépést kell végrehajtania:
Az adminisztrátori jogokkal rendelkező parancssorban lévő naplógyűjtőn futtassa a következő parancsot, amely elindítja a Windows Event Collector szolgáltatást, változtassa meg indítási típusát automatikusra (Automatikusan - Késleltetett indítás), és engedélyezze a ForwardEvents csatornát, ha le lett tiltva..
wecutil qc
A WinRM aktiválásához szükséges minden forráson:
WinRM quickconfig
Alapértelmezés szerint a naplógyűjtő kiszolgáló nem tud egyszerűen információkat gyűjteni a forrás eseménynaplóiból; a gyűjtő számítógép-fiókot hozzá kell adnia az összes naplóforrás-kiszolgáló helyi rendszergazdáinak (abban az esetben, ha a forráskiszolgáló 2008 R2 rendszert futtat, akkor elegendő adj hozzá gyűjtői fiókot a csoporthoz esemény Bejelentkezés Az olvasók)
Most létre kell hoznunk előfizetéseket a szervergyűjtőre. Miért megy hozzá, nyissa meg az MMC Event Viewer konzolt, kattintson a jobb gombbal az Előfizetések elemre, és válassza az Előfizetés létrehozása lehetőséget:
Itt számos különféle beállítást választhat..
Minden egyes gyűjtő hozzáadásakor jó lenne ellenőrizni a kapcsolatot:
Ezután be kell állítania a szűrőt azáltal, hogy meghatározza, hogy milyen típusú eseményeket szeretne fogadni (például hibák és figyelmeztetések). Külön esemény eseményazonosító számok vagy szavak alapján is gyűjtheti az eseményeket az esemény leírásában. Van egy figyelmeztetés: ne válasszon túl sok eseménytípust egy előfizetésben, ezt a naplót határozatlan ideig elemezheti :).
Speciális beállításokra lehet szükség, ha nem szabványos portot szeretne használni a WinRM számára, vagy HTTPS protokoll használatával szeretne dolgozni, vagy optimalizálni szeretné a naplókat a lassú WAN csatornákon..
Az OK gombra kattintva az előfizetés létrejön. Itt jobb egérgombbal kattinthat az előfizetésre és megkaphatja az állapotot (Futásidej), vagy újraindíthatja (Újra), ha az előző indítás sikertelen volt. Felhívjuk figyelmét, hogy még akkor is, ha előfizetése zöld ikonnal rendelkezik, hibákat okozhat a naplók gyűjtése során. Tehát mindig ellenőrizze a futási állapotot.
Az előfizetés megkezdése után megtekintheti az átirányított eseményeket. Ne feledje, hogy ha a naplók nagyon nagyok, akkor kezdeti gyűjtésük eltarthat egy ideig..
A konfiguráció a Tulajdonságok -> Előfizetések lapon tekinthető meg.
Ha a naplók gyűjtése nem működik, először a naplók forráskiszolgálón ellenőrizze, hogy a helyi tűzfal megfelelően van-e konfigurálva, és lehetővé teszi-e a WinRM forgalmat.
Egyszer, amikor hozzáadtam a gyűjtőkiszolgáló-fiókot az Eseménynapló-olvasók csoporthoz, de nem adtam hozzá a helyi rendszergazdákat, ilyen hiba történt;
[WDS1.ad.local] - Hiba - Utolsó próbálkozási idő: 2010-09-28 16:46:22. Kód (0 × 5): A Windows Event Forward beépülő modul nem tudta olvasni az eseményeket. Következő próbálkozási idő: 2010-09-28 16:51:22.
Megpróbáltam hozzáadni a kiszolgálói fiókot a helyi rendszergazdák csoportjához, a hiba eredményeként:
[WDS1.ad.local] - Hiba - Utolsó próbálkozási idő: 2010-09-28 16:43:18. Kód (0 × 7A): A rendszerhíváshoz továbbított adatterület túl kicsi. Legközelebbi próbálkozási idő: 2010-09-28 16:48:18.
Kiderül, hogy túl sok naplót választottam a szűrőben a gyűjtéshez. Ha úgy módosítottam a szűrőket, hogy valamivel kevesebb információ gyűjtsenek, legyőztem ezt a hibát.
tanács. Ahhoz, hogy automatikusan értesítse a rendszergazdát egy bizonyos esemény bekövetkezéséről a Windows naplóban, konfigurálhatja a feladatütemező eseményindítóját. Részletek a cikkben: Megfigyelés és esemény-értesítés a Windows naplókban
