Naprawdę podobała mi się nowa funkcja do pracy z dziennikami zdarzeń w systemie Windows 2008/7 / Vista, zwana przekazywaniem dziennika zdarzeń (subskrypcja lub subskrypcja), która jest oparta na technologii WinRM. Ta funkcja pozwala odbierać wszystkie zdarzenia ze wszystkich dzienników z wielu serwerów bez korzystania z produktów innych firm i można ją skonfigurować w ciągu kilku minut. Być może ta technologia pozwoli Ci zrezygnować z przeglądarki Kiwi Syslog Viewer i Splunk, tak uwielbianej przez wielu administratorów systemu..
Więc schemat jest taki, że mamy serwer Windows 2008 działający jako kolektor logi z jednego lub więcej źródła. W ramach prac przygotowawczych należy wykonać następujące 3 kroki:
W module gromadzącym dzienniki w wierszu polecenia z uprawnieniami administratora uruchom następujące polecenie, które uruchomi usługę Windows Event Collector Service, zmień typ uruchamiania na automatyczny (Automatycznie - opóźniony start) i włącz kanał ForwardedEvents, jeśli został wyłączony.
wecutil qc
Na każdym ze źródeł musisz aktywować WinRM:
winrm Quickconfig
Domyślnie serwer zbierający dzienniki nie może po prostu zbierać informacji ze źródłowych dzienników zdarzeń; należy dodać konto komputera zbierającego do lokalnych administratorów na wszystkich serwerach źródłowych dziennika (w przypadku, gdy serwer źródłowy działa w wersji 2008 R2, wystarczy dodaj konto kolekcjonera do grupy Wydarzenie Zaloguj się Czytelnicy)
Teraz musimy utworzyć subskrypcje do serwera zbierającego. Po co do niego przystępować, otwórz konsolę MMC Event Viewer, kliknij prawym przyciskiem myszy Subskrypcje i wybierz Utwórz subskrypcję:
Tutaj możesz wybrać kilka różnych ustawień..
Za każdym razem, gdy dodajesz kolektor, dobrze byłoby sprawdzić połączenie:
Następnie musisz skonfigurować filtr, określając, jakie typy zdarzeń chcesz otrzymywać (na przykład Błędy i Ostrzeżenia), możesz także zbierać zdarzenia według określonych numerów ID zdarzeń lub według słów w opisie zdarzenia. Jest jedno zastrzeżenie: nie wybieraj zbyt wielu rodzajów zdarzeń w jednej subskrypcji, możesz analizować ten dziennik w nieskończoność :).
Ustawienia zaawansowane mogą być potrzebne, jeśli chcesz użyć niestandardowego portu dla WinRM, chcesz pracować przy użyciu protokołu HTTPS lub zoptymalizować dzienniki na wolnych kanałach WAN.
Po kliknięciu OK subskrypcja zostanie utworzona. Tutaj możesz kliknąć subskrypcję prawym przyciskiem myszy i uzyskać status (Runtime Status) lub uruchomić go ponownie (Ponów), jeśli poprzednie uruchomienie nie powiodło się. Pamiętaj, że nawet jeśli Twoja subskrypcja ma zieloną ikonę, mogą wystąpić błędy w procesie zbierania dzienników. Dlatego zawsze sprawdzaj status środowiska wykonawczego.
Po rozpoczęciu subskrypcji możesz przeglądać przekierowane zdarzenia. Należy pamiętać, że jeśli dzienniki są bardzo duże, ich początkowe pobranie może zająć trochę czasu..
Konfigurację można wyświetlić na karcie Właściwości -> Subskrypcje.
Jeśli zbieranie dzienników nie działa, najpierw na serwerze źródłowym dzienników upewnij się, że lokalna zapora sieciowa jest poprawnie skonfigurowana i zezwala na ruch WinRM.
Kiedyś, kiedy dodałem konto serwera zbierającego do grupy Czytelników dziennika zdarzeń, ale nie dodałem jego lokalnych administratorów, wystąpił taki błąd;
[WDS1.ad.local] - Błąd - Ostatnia próba: 28.09.2010, 16:46:22. Kod (0 × 5): Wtyczka przekazywania zdarzeń Windows nie mogła odczytać zdarzeń. Czas następnej próby: 28.09.2010, 16:51:22.
Próbowałem dodać konto serwera do grupy lokalnych administratorów, w wyniku pojawienia się tego błędu:
[WDS1.ad.local] - Błąd - Czas ostatniej próby: 28.09.2010, 16:43:18. Kod (0 × 7A): Obszar danych przekazywany do wywołania systemowego jest zbyt mały. Następny czas ponowienia: 28.09.2010, 16:48:18.
Okazuje się, że w filtrze wybrałem zbyt wiele dzienników, aby je zebrać. Dostosowując filtry tak, aby zbierali nieco mniej informacji, pokonałem ten błąd.
Wskazówka. Aby automatycznie powiadomić administratora o wystąpieniu określonego zdarzenia w dzienniku systemu Windows, można skonfigurować wyzwalacz harmonogramu zadań. Szczegóły w artykule: Monitorowanie i powiadamianie o zdarzeniach w dziennikach systemu Windows
