Много ми хареса новата функция за работа с регистрационни файлове на събития в Windows 2008/7 / Vista, наречена пренасочване на журнали на събития (абонамент - или абонамент), която се основава на технологията WinRM. Тази функция ви позволява да получавате всички събития от всички регистрационни файлове от множество сървъри, без да използвате продукти на трети страни, и тя може да бъде конфигурирана само за няколко минути. Може би тази технология ще ви позволи да изоставите Kiwi Syslog Viewer и Splunk, така обичан от много системни администратори..
Така че схемата е тази, ние имаме Windows 2008 сървър, работещ като колектор трупи от един или повече източници на. Като подготвителна работа трябва да изпълните следните 3 стъпки:
В колектора на журнали в командния ред с права на администратор, изпълнете следната команда, която ще стартира услугата за събиране на събития на Windows, променете типа му на стартиране на автоматичен (Автоматично - отложен старт) и активирайте канала ForwardedEvents, ако е деактивиран.
wecutil QC
За всеки от източниците, които трябва да активирате WinRM:
WinRM quickconfig
По подразбиране сървърът за събиране на регистрационни файлове не може просто да събира информация от дневниците на събитията източник; ще трябва да добавите акаунта на компютъра за събиране на данни към локални администратори на всички сървъри на източника на журнала (в случай, че сървърът на източника работи 2008 R2, тогава достатъчно добавете колекторна сметка към групата събитие Вход Читателите)
Сега трябва да създадем абонаменти за колекторния сървър. Защо да отидете на него, отворете конзолата MMC Event Viewer, щракнете с десния бутон върху абонаментите и изберете Create Subscription:
Тук можете да изберете няколко различни настройки..
Всеки път, когато добавите колектор, би било добре да проверите връзката:
След това трябва да конфигурирате филтъра, като посочите какви видове събития искате да получите (например Грешки и предупреждения), можете също да събирате събития по конкретни номера на идентификатор на събитието или по думи в описанието на събитието. Има едно предупреждение: не избирайте твърде много видове събития в един абонамент, можете да анализирате този дневник безкрайно :).
Може да са необходими разширени настройки, ако искате да използвате нестандартен порт за WinRM или искате да работите с протокола HTTPS или да оптимизирате регистрационни файлове на бавни WAN канали.
След като щракнете върху OK, абонаментът ще бъде създаден. Тук можете да щракнете с десния бутон на мишката върху абонамента и да получите състоянието (състояние на изпълнение) или да го рестартирате (Повтори), ако предишното стартиране не беше успешно. Моля, обърнете внимание, че дори ако абонаментът ви има зелена икона, може да има грешки в процеса на събиране на трупи. Затова винаги проверявайте състоянието на изпълнение.
След като абонаментът започне, можете да видите пренасочените събития. Имайте предвид, че ако трупите са много големи, тогава първоначалното им събиране може да отнеме известно време..
Конфигурацията може да се види в раздела Свойства -> Абонаменти.
Ако събирането на регистрационни файлове не работи, първо на изходния сървър на регистрационните файлове се уверете, че локалната защитна стена е конфигурирана правилно и позволява трафик на WinRM.
Веднъж, когато добавих акаунта на сървъра за събиране към групата за четене на журнали на събития, но не добавих неговите локални администратори, имаше такава грешка;
[WDS1.ad.local] - Грешка - Време за последен опит: 2010-09-28 16:46:22. Код (0 × 5): Плъгинът за Windows Event Forward не прочете събития. Следващо време за опит: 2010-09-28 16:51:22.
Опитах се да добавя акаунта на сървъра към групата местни администратори, в резултат на тази грешка се появи:
[WDS1.ad.local] - Грешка - Време за последен опит: 2010-09-28 16:43:18. Код (0 × 7A): Областта на данни, предадена на системно обаждане, е твърде малка. Следващо време за опит: 2010-09-28 16:48:18.
Оказва се, че избрах твърде много трупи във филтъра, за да се съберат. Нагласяйки филтрите така, че да събират малко по-малко информация, аз победих тази грешка.
съвет. За да уведомите автоматично администратора за настъпването на определено събитие в дневника на Windows, можете да конфигурирате спусъка на програмиста за програмиране. Подробности в статията: Мониторинг и известяване на събития в логове на Windows
