Saya sangat menyukai fitur baru untuk bekerja dengan log peristiwa di Windows 2008/7 / Vista, yang disebut penerusan Log Kejadian (berlangganan - atau berlangganan), yang didasarkan pada teknologi WinRM. Fungsi ini memungkinkan Anda untuk menerima semua peristiwa dari semua log dari beberapa server tanpa menggunakan produk pihak ketiga dan dapat dikonfigurasi hanya dalam beberapa menit. Mungkin teknologi ini akan memungkinkan Anda untuk meninggalkan Kiwi Syslog Viewer dan Splunk, yang sangat disukai oleh banyak administrator sistem..
Jadi skemanya adalah ini, kami memiliki server Windows 2008 yang berjalan sebagai pengumpul log dari satu atau lebih sumber dari. Sebagai pekerjaan persiapan, Anda perlu melakukan 3 langkah berikut:
Pada pengumpul log di prompt perintah dengan hak administrator, jalankan perintah berikut, yang akan memulai Layanan Kolektor Acara Windows, ubah jenis startup-nya menjadi otomatis (Otomatis - Tertunda Mulai) dan aktifkan saluran ForwardedEvents jika dinonaktifkan.
wecutil qc
Di setiap sumber yang Anda butuhkan untuk mengaktifkan WinRM:
winrm konfigurasi cepat
Secara default, server pengumpul log tidak dapat dengan mudah mengumpulkan informasi dari log peristiwa sumber, Anda harus menambahkan akun komputer pengumpul ke administrator lokal di semua server sumber log (jika server sumber menjalankan 2008 R2, maka itu sudah cukup tambahkan akun kolektor ke grup Acara Log Pembaca)
Sekarang kita harus membuat Langganan ke pengumpul server. Mengapa pergi ke sana, buka konsol MMC Event Viewer, klik kanan pada Langganan dan pilih Buat Langganan:
Di sini Anda dapat memilih beberapa pengaturan berbeda..
Setiap kali Anda menambahkan kolektor, alangkah baiknya untuk memeriksa koneksi:
Selanjutnya, Anda harus mengonfigurasi filter dengan menentukan jenis acara yang ingin Anda terima (misalnya, Kesalahan dan Peringatan), Anda juga dapat mengumpulkan acara dengan nomor ID Peristiwa tertentu atau dengan kata-kata dalam deskripsi acara. Ada satu peringatan: jangan memilih terlalu banyak jenis acara dalam satu berlangganan, Anda dapat menganalisis log ini tanpa batas :).
Pengaturan lanjutan mungkin diperlukan jika Anda ingin menggunakan port non-standar untuk WinRM, atau ingin bekerja menggunakan protokol HTTPS, atau mengoptimalkan log pada saluran WAN yang lambat.
Setelah mengklik OK, langganan akan dibuat. Di sini Anda dapat mengklik kanan pada langganan dan mendapatkan status (Status Runtime), atau memulai kembali (Coba lagi) jika peluncuran sebelumnya tidak berhasil. Harap perhatikan bahwa meskipun langganan Anda memiliki ikon hijau, mungkin ada kesalahan dalam proses pengumpulan log. Jadi selalu periksa status runtime.
Setelah berlangganan dimulai, Anda dapat melihat acara yang diarahkan. Perlu diingat bahwa jika log sangat besar, maka pengumpulan awal mereka mungkin memakan waktu..
Konfigurasi dapat dilihat pada tab Properties -> Subscription.
Jika pengumpulan log tidak berfungsi, pertama pada server sumber log pastikan firewall lokal dikonfigurasi dengan benar dan memungkinkan lalu lintas WinRM.
Suatu ketika, ketika saya menambahkan akun server pengumpul ke grup Pembaca Log Peristiwa, tetapi tidak menambahkan admin lokalnya, ada kesalahan seperti itu;
[WDS1.ad.local] - Kesalahan - Waktu coba lagi terakhir: 2010-09-28 16:46:22. Kode (0 × 5): Plugin Windows Event Forward gagal membaca peristiwa. Waktu coba lagi berikutnya: 2010-09-28 16:51:22.
Saya mencoba menambahkan akun server ke grup admin lokal, karena kesalahan ini muncul:
[WDS1.ad.local] - Kesalahan - Waktu coba lagi terakhir: 2010-09-28 16:43:18. Kode (0 × 7A): Area data yang diteruskan ke panggilan sistem terlalu kecil. Waktu coba lagi berikutnya: 2010-09-28 16:48:18.
Ternyata saya memilih terlalu banyak log dalam filter untuk dikumpulkan. Dengan menyesuaikan filter sehingga mereka mengumpulkan sedikit informasi, saya mengalahkan kesalahan ini.
Kiat. Untuk secara otomatis memberi tahu administrator tentang terjadinya peristiwa tertentu di log Windows, Anda dapat mengonfigurasi pemicu penjadwal tugas. Detail dalam artikel: Monitoring dan pemberitahuan acara di log Windows
