Zelo všeč mi je bila nova funkcija za delo z dnevniki dogodkov v sistemu Windows 2008/7 / Vista, imenovana Posredovanje dnevnika dogodkov (naročnina - ali naročnina), ki temelji na tehnologiji WinRM. Ta funkcija vam omogoča, da prejemate vse dogodke iz vseh dnevnikov z več strežnikov, ne da bi uporabljali izdelke drugih proizvajalcev, in jih lahko konfigurirate v samo nekaj minutah. Morda vam bo ta tehnologija omogočila, da opustite pregledovalnik Kiwi Syslog View in Splunk, ki so ga tako ljubili številni sistemski skrbniki..
Torej je shema ta, strežnik Windows 2008 deluje kot zbiralec dnevniki iz enega ali več viri. Kot pripravljalno delo morate izvesti naslednje 3 korake:
V zbiralniku dnevnikov v ukaznem pozivu s skrbniškimi pravicami zaženite naslednji ukaz, s katerim boste zagnali Storitev zbiranja dogodkov Windows, spremenili njegovo vrsto zagona v samodejno (samodejno - zakasnjen začetek) in omogočili kanal ForwardedEvents, če je bil onemogočen.
wecutil qc
V vseh virih, ki jih morate aktivirati WinRM:
winrm quickconfig
Privzeto strežnik zbiralnika dnevnikov ne more preprosto zbirati informacij iz izvornih dnevnikov dogodkov; račun za zbiranje računalnikov boste morali dodati lokalnim skrbnikom na vseh strežnikih izvornih dnevnikov (v primeru, da izvorni strežnik izvaja sistem 2008 R2, potem je dovolj dodaj zbirčni račun v skupino Dogodek Dnevnik Bralci)
Zdaj moramo ustvariti naročnine na strežniški zbiralnik. Zakaj iti do njega, odprite konzolo MMC Event Viewer, z desno tipko miške kliknite naročnine in izberite Ustvari naročnino:
Tu lahko izberete več različnih nastavitev..
Vsakič, ko dodate zbiralnik, bi bilo dobro preveriti povezavo:
Nato morate konfigurirati filter tako, da določite, katere vrste dogodkov želite prejeti (na primer Napake in opozorila), lahko zbirate tudi dogodke po določenih številkah ID-ja dogodka ali po besedah v opisu dogodka. Obstaja ena opozorila: v eni naročnini ne izberite preveč vrst dogodkov, ta dnevnik lahko analizirate v nedogled :).
Napredne nastavitve bodo morda potrebne, če želite uporabiti nestandardno vrata za WinRM ali želite delati s protokolom HTTPS ali optimizirati dnevnike na počasnih kanalih WAN.
Ko kliknete V redu, se naročnina ustvari. Tu lahko z desno miškino tipko kliknete naročnino in dobite stanje (Stanje izvajanja) ali pa ga znova zaženite (Poizkusi), če prejšnji zagon ni bil uspešen. Upoštevajte, da tudi če ima vaša naročnina zelena ikona, lahko pride do napak pri zbiranju dnevnikov. Zato vedno preverite stanje izvajanja.
Ko se naročnina začne, si lahko ogledate preusmerjene dogodke. Upoštevajte, da če so hlodi zelo veliki, lahko njihova začetna zbirka traja nekaj časa..
Konfiguracijo si lahko ogledate na zavihku Lastnosti -> Naročnine.
Če zbiranje dnevnikov ne deluje, najprej na izvornem strežniku dnevnikov preverite, ali je lokalni požarni zid pravilno konfiguriran in omogoča promet WinRM.
Nekoč, ko sem v skupino bralcev dnevnika dogodkov dodal račun strežniškega zbiralnika, vendar nisem dodal njegovih lokalnih skrbnikov, je prišlo do takšne napake;
[WDS1.ad.local] - Napaka - Zadnji čas poskusa: 2010-09-28 16:46:22. Koda (0 × 5): Vtičnik za posredovanje dogodkov Windows ni uspel prebrati dogodkov. Naslednji čas ponovitve: 2010-09-28 16:51:22.
Poskušal sem dodati račun strežnika v skupino lokalnih skrbnikov, ker se je pojavila ta napaka:
[WDS1.ad.local] - Napaka - Zadnji čas poskusa: 2010-09-28 16:43:18. Koda (0 × 7A): Podatkovno območje, poslano k sistemskemu klicu, je premalo. Naslednji čas ponovitve: 2010-09-28 16:48:18.
Izkaže se, da sem v filtru izbral preveč dnevnikov, da bi jih zbral. S prilagajanjem filtrov tako, da zbirajo malo manj informacij, sem to napako premagal.
Namig. Če želite samodejno obvestiti skrbnika o pojavu določenega dogodka v dnevniku Windows, lahko konfigurirate sprožilec planerja opravil. Podrobnosti v članku: Spremljanje in obveščanje o dogodkih v dnevnikih Windows
