Что такое правильный журнал назначения для пересылки событий Windows


8

Я столкнулся с проблемой при попытке использовать настраиваемый журнал журналов для хранения перенаправленных событий (через подписку) на сервере Windows 2008 R2, причем описанный настраиваемый журнал не является «допустимым журналом назначения».

В настоящее время я настраиваю архитектуру для централизации событий Windows, используя встроенные возможности пересылки и сбора событий (через WS-management и wecutil).

Одно из моих требований - иметь возможность создавать несколько подписок на компьютере-сборщике и хранить перенаправленные события в разных файлах журнала. Для этого я протестировал создание собственного журнала (называемого CustomLog). Этот журнал отображается в средстве просмотра событий в категории «Журналы приложений и служб».

Однако я не могу перенаправить перенаправленные события в этот CustomLog. CustomLog не отображается в списке возможных мест назначения при создании подписки в пользовательском интерфейсе Event Viewer.

Чтобы попытаться понять, что может быть не так, я оставил в качестве пункта назначения значение по умолчанию ForwardedEvents и попытался изменить его с помощью Powershell. Я выполнил следующую команду, которая должна установить журнал назначения как CustomLog:

wecutil ss "Collect from both sources" /lf:CustomLog

Это бежало без ошибок. Хотя в CustomLog не регистрируются события, и когда я возвращаюсь в графический интерфейс для создания / изменения подписок и пытаюсь открыть установленную подписку, я получаю всплывающее окно, в котором говорится следующее:

Журнал назначения, определенный в этой подписке, не найден в списке допустимых журналов назначения на этом компьютере. убедитесь, что этот журнал существует на компьютере и является допустимым в качестве места назначения для перенаправленных событий. Обратите внимание, что классические журналы, аналитические журналы и журналы отладки, а также журнал безопасности не могут использоваться в качестве места назначения.

Кто-нибудь знает, что такое «действительный журнал назначения» и как я могу превратить мой CustomLog в такой действительный пункт назначения?

Ответы:


1

Следующий блог Microsoft подробно описывает шаги для создания отдельных файлов журнала. На самом деле, вы можете создать любое количество файлов журнала. Я только что выполнил шаги и могу подтвердить, что он работает в Windows 10.

Создание пользовательских журналов пересылки событий Windows

Сделав шаг вперед, я нашел следующий блог Microsoft полезным для настройки многоуровневой архитектуры.

Мониторинг клиентов DIY - Настройка многоуровневой пересылки событий


0

wecutil позволяет использовать XML-файл для предоставления информации о конфигурации. Вы можете попробовать разместить CustomLog в качестве цели назначения.

См. Https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Он содержит образец XML-файла, который вы можете использовать

Пожалуйста, посмотрите также на https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event- коллектор-источник инициированный? форум = winservergen

Это говорит о том, что это может быть невозможно, но предлагает решение XML в качестве опции, но без какого-либо подтверждения успеха.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.