В новой линейке Windows появилась замечательная функция сбора логов с разных серверов и рабочих станций. Это позволяет значительно сократить время на просмотр событий, если у вас несколько систем. То есть, на одном из серверов под управлением Windows Server 2008 вы настраиваете подписку на нужные Вам эвенты других компьютеров и просматриваете их в одной консоли. Можно собирать события с систем под управлением Windows Server 2008/Vista, а также, после установки дополнительного софта, и с Wisdows Server 2003.
Подготовка:
- На каждом компьютере, с которых вы хотите собирать логи, запустите команду winrm quickconfig;
- Добавьте учетную запись компьютера, который будет собирать логи (целевой компьютер), в группу «Event Log Readers» (Читатели журналов событий) каждого из этих компов;
- В командной строке целевого компьютера выполните wecutil qc.
Если вы планируете изменять параметры Minimize Bandwidth или Minimize Latency, дополнительно введите команду winrm quickconfig;
Помимо ручной настроки, исходящий и целевой компьютеры можно настроить с помощью GPO. Для этого создайте группову политику, например GPO-EventForward. Перейдите: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Event Forwarding. Выберите пункт Configure the server adress, refresh interval , and issuer certificate authority of a Target Subscription Manager. Выберите Enable, нажмите «Show» и введите в поле полный fqdn адрес целевого компьютера (сборщика событий).
Далее, перейдите в Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Windows Remote management >> WinRM Service. Выберите пункт Allow automatic configuration of listeners, поставьте галку «Enable«, а в полях Ipv4 filter и Ipv6 filter поставьте знак « * «. Прикрепите политику к необходимому подразделению.
Обращаю Ваще внимание, что все действия необходимо выполнять под учеткой администратора. Помимо этого, обязательно должна быть запущена служба Microsoft Firewall на всех компьютерах.
Настройка:
«После того, как собирающий и исходные компьютеры подготовлены, необходимо «оформить» подписку, указывающую какие события предоставлять.
Для этого откройте консоль Event Viewer и выберите пункт «Subscriptions«. В меню правой кнопки мыши «Create Subscription«.
В появившемся окне Вы должны будете указать имя подписки, выбрать журнал, в который будут поступать присланные события, а также настроить фильтр отбора событий по тем или иным критериям.
Но главное, вы должны выбрать способ сбора и имена компьютеров, предоставляющих события — либо целевой компьютер в нужное ему время опрашивает исходные компы на наличие необходимых событий, либо исходные компьютеры предоставляют сборщику события по расписанию. В случае, если вы добавляете компьютер, не принадлежакщий домену, необходимо добавить сертификат, на основании которого пудет проверена подлинность этого компьютера.
Также, если для доступа к компьютеру используется канал WiFi либо медленное ADSL соединение, в разделе «Дополнительно» можно выбрать вариант уменьшенной пропускной способности сети.
После завершения настройки Вы сможете мониторить события всех ваших серверов с одного компьютера. В дальнейшем можно настроить при поступлении события выполнение различных действий, которые могут быть выражены в отправке сообщения по электронной почте, отображении локального сообщения или запуске программы или скрипта.
Удачи!
P.S. Вышел мой вебкаст на эту тему на Techdays — «Настройка централизованой системы сбора событий Windows Eventing Collector»
У WEC есть ограничения, Microsoft не рекомендует подключать более 4 тыс. хостов к одному WEC. Но нигде не нашел механику работы, когда в GPO указывают 2 или 3 сервера WEC, события с источников будут на все серверы WEC (которые прописаны в GPO) отправляться или они как-то будут балансироваться?
Эх ещё б аналогичную статейку для 2003 серверов, что б разжёвано было для тех, кто в танке.
Возьму на себя смелость ответить.. с 2003 сервером все просто:
1 — с него можно только собирать события.
2 — чтобы собирать с него события нужно поставить вот этот пакет: http://www.microsoft.com/downloads/details.aspx?FamilyID=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en
Дальше настройка ничем не отличается от 2008.
ЗЫ: обнаружил интересный момент — служба фаервола должна быть запущена, но сам фаервол может быть переведен в статус disable
Статья хорошая.
Есть вопрос к автору:
Пробовали ли Вы использовать в качестве сборщика систему под управлением Windows 7? Дело в том, что если я использую WindowsServer2008 В качестве сборщика — проблемм нет.. Как только пытаюсь использовать Windows 7 получаю ошибку (Клиенту WinRM не удалось закончить операцию за указанное время). При этом ошибка возникает лишь при попытке собирать события с 2008 серверов. С 7ки и Висты события прекрасно собираются.
Может быть есть какой то хинт при настройке 7ки как коллектора?
Приятно было и читать и смотреть ролик. Спасибо.
посмотрел вот где йоги тусуются думаю стать йогом?
Хорошая статья. Действительно было интересно почитать. Не часто такое и встречается та.Наверное стоит подписаться на ваше RSS