Zaista mi se svidjela nova značajka za rad s zapisnicima događaja u sustavu Windows 2008/7 / Vista, nazvana Prosljeđivanje dnevnika događaja (pretplata - ili pretplata) koja se temelji na WinRM tehnologiji. Ova funkcija omogućuje primanje svih događaja iz svih zapisnika s više poslužitelja bez upotrebe proizvoda treće strane, a može se konfigurirati u samo nekoliko minuta. Možda će vam ova tehnologija omogućiti da napustite Kiwi Syslog Viewer i Splunk, toliko voljene od strane mnogih administratora sustava..
Dakle, shema je ova, imamo Windows 2008 poslužitelj koji radi kolekcionar trupci iz jedne ili više izvori od. Kao pripremni posao, morate izvršiti sljedeća 3 koraka:
U sakupljaču dnevnika u naredbenom retku s administratorskim pravima pokrenite sljedeću naredbu kojom ćete pokrenuti Windows Event Collector Service, promijenite vrstu pokretanja u automatsku (Automatski - odloženo pokretanje) i omogućite kanal ForwardedEvents ako je onemogućen.
wecutil QC
Za svaki od izvora koji morate aktivirati WinRM:
winrm quickconfig
Prema zadanom poslužitelj sakupljača dnevnika ne može jednostavno prikupiti podatke iz zapisnika izvornih događaja, morat ćete dodati račun računala sakupljača lokalnim administratorima na svim poslužiteljima izvora dnevnika (u slučaju da izvorni poslužitelj izvodi sustav 2008 R2, tada je dovoljno dodajte račun kolekcionara u grupu događaj Prijava čitatelji)
Sada moramo stvoriti pretplate na kolektor poslužitelja. Zašto ići na to, otvorite MMC konzolu Event Viewer, desnom tipkom miša kliknite Pretplate i odaberite Create Pretplate:
Ovdje možete odabrati nekoliko različitih postavki..
Svaki put kad dodate sakupljač, bilo bi lijepo provjeriti vezu:
Zatim morate konfigurirati filtar određivanjem vrsta događaja koje želite primiti (na primjer, pogreške i upozorenja), događaje možete sakupljati i prema određenim brojevima ID-a događaja ili riječima u opisu događaja. Postoji jedno upozorenje: ne birajte previše vrsta događaja u jednoj pretplati, ovaj dnevnik možete analizirati u nedogled :).
Napredne postavke mogu vam biti potrebne ako želite koristiti nestandardni port za WinRM ili želite raditi pomoću HTTPS protokola ili optimizirati zapisnike na sporim WAN kanalima.
Nakon što kliknete U redu, pretplata će se stvoriti. Ovdje možete desnom tipkom miša kliknuti na pretplatu i dobiti status (Runtime Status), ili ga ponovo pokrenuti (Pokušaj) ako prethodno pokretanje nije bilo uspješno. Imajte na umu da čak i ako vaša pretplata ima zelenu ikonu, može doći do pogreške u procesu prikupljanja zapisa. Stoga uvijek provjerite status izvršavanja.
Nakon što pretplata započne, možete vidjeti preusmjerene događaje. Imajte na umu da će, ako su trupci vrlo veliki, početno prikupljanje potrajati neko vrijeme..
Konfiguracija se može vidjeti na kartici Svojstva -> Pretplate.
Ako zbirka dnevnika ne radi, prvo na izvornom poslužitelju zapisnika provjerite je li lokalni vatrozid ispravno konfiguriran i omogućuje WinRM promet.
Jednom, kada sam dodao grupu poslužitelja sakupljača grupi čitača dnevnika događaja, ali nisam dodao njene lokalne administratore, došlo je do takve pogreške;
[WDS1.ad.local] - Pogreška - Vrijeme posljednjeg pokušaja: 2010-09-28 16:46:22. Kod (0 × 5): Dodatak za slanje događaja Windows Event nije uspio pročitati događaje. Sljedeće vrijeme pokušaja: 2010-09-28 16:51:22.
Pokušao sam dodati račun poslužitelja u skupinu lokalnih administratora, kao rezultat ove pogreške pojavila se:
[WDS1.ad.local] - Pogreška - Vrijeme posljednjeg pokušaja: 2010-09-28 16:43:18. Kôd (0 × 7A): Podatkovno područje prosljeđeno sistemskom pozivu je premalo. Sljedeće vrijeme pokušaja: 2010-09-28 16:48:18.
Ispada da sam za filtriranje odabrao previše trupaca. Prilagođavanjem filtera tako da prikupljaju nešto manje informacija, pobijedio sam ovu pogrešku.
vijeće. Da biste automatski obavijestili administratora o pojavi određenog događaja u dnevniku sustava Windows, možete konfigurirati okidač planera zadataka. Pojedinosti u članku: Nadgledanje i obavijesti o događajima u Windows zapisnicima
