none
请教一下工作组环境如何订阅事件管理器内应用程序、安全、系统这些日志信息! RRS feed

  • 问题

  • 尊敬的微软工程师,

    请教一下工作组环境如何订阅事件管理器内应用程序、安全、系统这些日志信息!


    谷青松

    2019年8月27日 5:58

答案

  • WEF订阅可以配置为push或pull,但不能同时进行。
    Pull 模式
    对于发起的pull 事件收集器,WEC服务器上的订阅要通过已选择事件的WEF客户机设备的名称进行预先配置。还必须提前配置这些客户机,以便允许订阅中使用的凭据远程访问它们的事件日志(通常通过将凭据添加到内置的本地安全组的事件日志阅读器中)。一个有用的场景:密切监视一组特定的机器。工作组模式中只能使用常用的pull 模式进行事件转发。
    Push  模式
    通过使用push或源发起的订阅,可以实现最简单、最灵活、可伸缩性最好的IT部署。通过使用GPO配置WEF客户机,并激活内置的转发客户机。
    所以工作组环境我们可以尝试创建收集器发起的订阅(Collector-initiated subscriptions):
    1 以本地管理员身份登陆事件收集服务器和事件转发服务器分别以管理员身份输入下面命令 winrm quickconfig
    ,开启winrm 配置命令。

    2在事件收集服务器(WEC)上以管理员身份运行下面的命令配置事件转发服务命令:wecutil qc
    3 将收集器计算机的计算机帐户添加到每个事件转发计算机本地的event log readers组中。
     在事件转发器计算机上运行中输入lusrmgr.msc 本地用户\组\event log readers
    4 在事件收集服务器上创建新的订阅   对应图中4
    5 在事件收集器上创建订阅中添加选择事件源服务器(事件转发器)对应图中5
    6 在“要收集的事件”中添加事件源 的应用程序、安全、系统这些日志 对应图中6
    7 由于默认使用http进行事件转发,所以在事件收集服务器和事件转发服务器防火墙上要开放5985端口
    Configure Computers to Forward and Collect Events
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc748890(v=ws.11)


    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2019年8月28日 7:54