Centralizovaný protokol událostí v systému Windows 2008 Server

Opravdu se mi líbila nová funkce pro práci s protokoly událostí v systému Windows 2008/7 / Vista, nazvaná Předávání protokolu událostí (předplatné - nebo předplatné), která je založena na technologii WinRM. Tato funkce umožňuje přijímat všechny události ze všech protokolů z více serverů bez použití produktů třetích stran a lze ji nakonfigurovat během několika minut. Možná vám tato technologie umožní opustit prohlížeč Kiwi Syslog Viewer a Splunk, takže je milován mnoha správci systému..

Takže schéma je toto, máme Windows 2008 server běžící jako sběratel protokoly od jednoho nebo více zdroje. Jako přípravné práce musíte provést následující 3 kroky:

Na sběrači protokolu na příkazovém řádku s právy správce spusťte následující příkaz, který spustí službu Windows Collector Service, změňte její typ spouštění na automatický (automaticky - zpožděné spuštění) a povolte kanál ForwardedEvents, pokud byl zakázán.
wecutil qc
U každého zdroje musíte aktivovat WinRM:
winrm quickconfig
Ve výchozím nastavení nemůže server kolekcí protokolů jednoduše shromažďovat informace z protokolů zdrojových událostí, budete muset přidat počítačový účet kolektoru k místním správcům na všech zdrojových serverech protokolu (v případě, že zdrojový server běží 2008 R2, pak stačí přidat účet sběratele do skupiny  Událost Protokol Čtenáři)

Nyní musíme vytvořit předplatné sběratele serveru. Proč k tomu přistupovat, otevřete konzolu prohlížeče událostí MMC, klepněte pravým tlačítkem myši na Předplatné a vyberte Vytvořit předplatné:

Zde můžete vybrat několik různých nastavení..

Při každém přidání sběratele by bylo dobré zkontrolovat připojení:

Dále musíte nakonfigurovat filtr zadáním, jaké typy událostí chcete přijímat (například Chyby a varování), můžete také shromažďovat události podle konkrétních čísel ID událostí nebo slovy v popisu události. Existuje jedno upozornění: nevybírejte příliš mnoho typů událostí v jednom předplatném, můžete tento protokol analyzovat donekonečna :).

Pokud chcete použít nestandardní port pro WinRM nebo chcete pracovat s protokolem HTTPS nebo optimalizovat protokoly na pomalých kanálech WAN, může být nutné rozšířené nastavení..

Po klepnutí na OK bude vytvořen odběr. Zde můžete kliknout pravým tlačítkem na předplatné a získat stav (Runtime Status), nebo restartovat (Opakovat), pokud předchozí spuštění bylo neúspěšné. Vezměte prosím na vědomí, že i když má vaše předplatné zelenou ikonu, může dojít k chybám při shromažďování protokolů. Proto vždy zkontrolujte stav modulu runtime.

Po zahájení předplatného můžete zobrazit přesměrované události. Mějte na paměti, že pokud jsou protokoly velmi velké, může jejich počáteční sběr nějakou dobu trvat..

Konfiguraci lze zobrazit na záložce Vlastnosti -> Předplatné.

Pokud kolekce protokolů nefunguje, nejprve na zdrojovém serveru protokolů zkontrolujte, zda je lokální firewall správně nakonfigurován a povoluje přenos WinRM.

Jednou, když jsem přidal účet sběratelského serveru do skupiny Čtečky protokolů událostí, ale nepřidal jsem jeho místní správce, došlo k takové chybě;

[WDS1.ad.local] - Chyba - Poslední doba opakování: 2010-09-28 16:46:22. Kód (0 × 5): Plugin Windows Forward Forward se nepodařilo přečíst události. Příští čas opakování: 2010-09-28 16:51:22.

Pokusil jsem se přidat účet serveru do skupiny místních správců, protože se objevila tato chyba:

[WDS1.ad.local] - Chyba - Poslední doba opakování: 2010-09-28 16:43:18. Kód (0 × 7A): Datová oblast předaná systémovému volání je příliš malá. Příští čas opakování: 2010-09-28 16:48:18.

Ukázalo se, že jsem ve filtru vybral příliš mnoho protokolů, abych je mohl sbírat. Upravením filtrů tak, aby shromažďovaly o něco méně informací, jsem tuto chybu porazil.

Tip. Chcete-li automaticky informovat správce o výskytu určité události v protokolu Windows, můžete nakonfigurovat spouštěč plánovače úloh. Podrobnosti v článku: Monitorování a oznámení událostí v protokolech systému Windows