В новой линейке Windows появилась замечательная функция сбора логов с разных серверов и рабочих станций. Это позволяет значительно сократить время на просмотр событий, если у вас несколько систем. То есть, на одном из серверов под управлением Windows Server 2008 вы настраиваете подписку на нужные Вам эвенты других компьютеров и просматриваете их в одной консоли. Можно собирать события с систем под управлением Windows Server 2008/Vista, а также, после установки дополнительного софта, и с Wisdows Server 2003.
Подготовка:
- На каждом компьютере, с которых вы хотите собирать логи, запустите команду winrm quickconfig;
- Добавьте учетную запись компьютера, который будет собирать логи (целевой компьютер), в группу “Event Log Readers” (Читатели журналов событий) каждого из этих компов;
- В командной строке целевого компьютера выполните wecutil qc.
Если вы планируете изменять параметры Minimize Bandwidth или Minimize Latency, дополнительно введите команду winrm quickconfig;
Помимо ручной настроки, исходящий и целевой компьютеры можно настроить с помощью GPO. Для этого создайте группову политику, например GPO-EventForward. Перейдите: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Event Forwarding. Выберите пункт Configure the server adress, refresh interval , and issuer certificate authority of a Target Subscription Manager. Выберите Enable, нажмите “Show” и введите в поле полный fqdn адрес целевого компьютера (сборщика событий).
Далее, перейдите в Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Windows Remote management >> WinRM Service. Выберите пункт Allow automatic configuration of listeners, поставьте галку “Enable“, а в полях Ipv4 filter и Ipv6 filter поставьте знак “ * “. Прикрепите политику к необходимому подразделению.
Обращаю Ваще внимание, что все действия необходимо выполнять под учеткой администратора. Помимо этого, обязательно должна быть запущена служба Microsoft Firewall на всех компьютерах.
Настройка:
“После того, как собирающий и исходные компьютеры подготовлены, необходимо “оформить” подписку, указывающую какие события предоставлять.
Для этого откройте консоль Event Viewer и выберите пункт “Subscriptions“. В меню правой кнопки мыши “Create Subscription“.
В появившемся окне Вы должны будете указать имя подписки, выбрать журнал, в который будут поступать присланные события, а также настроить фильтр отбора событий по тем или иным критериям.
Но главное, вы должны выбрать способ сбора и имена компьютеров, предоставляющих события – либо целевой компьютер в нужное ему время опрашивает исходные компы на наличие необходимых событий, либо исходные компьютеры предоставляют сборщику события по расписанию. В случае, если вы добавляете компьютер, не принадлежакщий домену, необходимо добавить сертификат, на основании которого пудет проверена подлинность этого компьютера.
Также, если для доступа к компьютеру используется канал WiFi либо медленное ADSL соединение, в разделе “Дополнительно” можно выбрать вариант уменьшенной пропускной способности сети.
После завершения настройки Вы сможете мониторить события всех ваших серверов с одного компьютера. В дальнейшем можно настроить при поступлении события выполнение различных действий, которые могут быть выражены в отправке сообщения по электронной почте, отображении локального сообщения или запуске программы или скрипта.
Удачи!
P.S. Вышел мой вебкаст на эту тему на Techdays – “Настройка централизованой системы сбора событий Windows Eventing Collector”
Уведомление:Настройка Event Collector в Windows Server 2008 | Kyianyn – Live
U avtora ochen’ priyatnyi slog
Какие слова … супер,великолепная идея
Уведомление:Опыт внедрения AD DS, PKI и Hyper-v на базе Windows Server 2008 в корпоративной среде - Про ИТ и не только