Veľmi sa mi páčila nová funkcia pre prácu s protokolmi udalostí v systéme Windows 2008/7 / Vista, ktorá sa nazýva Preposielanie udalostí (predplatné - alebo predplatné), ktorá je založená na technológii WinRM. Táto funkcia umožňuje prijímať všetky udalosti zo všetkých protokolov z viacerých serverov bez použitia produktov tretích strán a dá sa nakonfigurovať za pár minút. Možno, že táto technológia vám umožní opustiť Kiwi Syslog Viewer a Splunk, tak milovaní mnohými systémovými administrátormi..
Takže schéma je táto, máme Windows 2008 server bežiaci ako zberateľ denníky od jedného alebo viacerých zdroje. Ako prípravné práce musíte vykonať nasledujúce 3 kroky:
Na kolektore denníka na príkazovom riadku s právami správcu spustite nasledujúci príkaz, ktorým sa spustí služba Windows Collector Service, zmeňte typ jej spustenia na automatický (automaticky - oneskorené spustenie) a ak bol zakázaný kanál ForwardedEvents, ak bol zakázaný.
wecutil qc
Pri každom zo zdrojov musíte aktivovať WinRM:
WinRE quickconfig
Server kolektorov protokolov nemôže v predvolenom nastavení jednoducho zhromažďovať informácie z protokolov zdrojových udalostí, budete musieť pridať účet počítačov kolektorov k miestnym správcom na všetkých zdrojových serveroch protokolov (v prípade, že zdrojový server beží 2008 R2, potom stačí pridať účet zberateľa do skupiny udalosť log čitateľovi)
Teraz musíme vytvoriť Odbery do kolektora servera. Prečo to urobiť, otvorte konzolu MMC Event Viewer, kliknite pravým tlačidlom myši na Predplatné a vyberte Vytvoriť predplatné:
Tu môžete vybrať niekoľko rôznych nastavení..
Vždy, keď pridáte kolektor, bolo by dobré skontrolovať pripojenie:
Ďalej musíte nakonfigurovať filter zadaním, ktoré typy udalostí chcete dostávať (napríklad Chyby a upozornenia), môžete tiež zhromažďovať udalosti podľa konkrétnych čísel ID udalostí alebo slovami v popise udalosti. Existuje jedna výzva: nevyberajte príliš veľa typov udalostí v jednom odbere, tento protokol môžete analyzovať donekonečna :).
Rozšírené nastavenia môžu byť potrebné, ak chcete používať neštandardný port pre WinRM alebo ak chcete pracovať pomocou protokolu HTTPS alebo optimalizovať protokoly na pomalých kanáloch WAN..
Po kliknutí na tlačidlo OK sa vytvorí odber. Tu môžete pravým tlačidlom myši kliknúť na odber a získať stav (stav runtime) alebo ho znova spustiť (opakovať), ak predchádzajúce spustenie bolo neúspešné. Upozorňujeme, že aj keď má váš odber zelenú ikonu, v procese zhromažďovania protokolov sa môžu vyskytnúť chyby. Preto vždy skontrolujte stav modulu runtime.
Po spustení predplatného si môžete zobraziť presmerované udalosti. Majte na pamäti, že ak sú protokoly veľmi veľké, môže ich počiatočný zber trvať nejaký čas..
Konfiguráciu si môžete prezrieť na záložke Vlastnosti -> Predplatné.
Ak kolekcia protokolov nefunguje, najprv na zdrojovom serveri protokolov skontrolujte, či je lokálny firewall správne nakonfigurovaný a umožňuje prenos WinRM..
Raz, keď som pridal účet kolektorového servera do skupiny Čítačky denníkov udalostí, ale nepridal som miestnych administrátorov, vyskytla sa taká chyba;
[WDS1.ad.local] - Chyba - Čas posledného pokusu: 2010-09-28 16:46:22. Kód (0 × 5): Doplnok Windows Forward Forward nedokázal prečítať udalosti. Budúci čas opakovania: 2010-09-28 16:51:22.
Pokúsil som sa pridať účet servera do skupiny miestnych správcov, pretože sa vyskytla táto chyba:
[WDS1.ad.local] - Chyba - Čas posledného pokusu: 2010-09-28 16:43:18. Kód (0 × 7A): Dátová oblasť odovzdaná systémovému volaniu je príliš malá. Budúci čas opakovania: 2010-09-28 16:48:18.
Ukazuje sa, že som vo filtri vybral príliš veľa protokolov na zhromažďovanie. Úpravou filtrov tak, aby zhromažďovali o niečo menej informácií, som túto chybu porazil.
rada. Ak chcete správcovi automaticky oznámiť výskyt určitej udalosti v protokole systému Windows, môžete nakonfigurovať spúšťač plánovania úloh. Podrobnosti v článku: Monitorovanie a oznamovanie udalostí v denníkoch systému Windows
