Перед созданием подписки для сбора событий следует настроить как компьютер, который будет выполнять сбор данных (сборщик событий), так и компьютер, который будет пересылать информацию о своих событиях (источник событий). Обновленные сведения о подписке на события доступны в документе Подписка на события (документ может быть на английском языке).
Настройка компьютеров домена на пересылку и сбор событий |
-
Войдите в систему всех компьютеров-сборщиков и компьютеров-источников событий. Рекомендуется использовать учетную запись домена с правами администратора.
-
На каждом компьютере-источнике событий введите в командной строке:
winrm quickconfig
Примечание Если при доставке событий планируется указать оптимизацию для Уменьшенная пропускная способность или Уменьшенная задержка, вышеприведенную команду необходимо запустить и на компьютере-сборщике событий.
-
На компьютере-сборщике в командной строке с расширенными правами введите:
wecutil qc
-
Добавьте учетную запись компьютера-сборщика данных к локальной группе «Администраторы» на каждом компьютере-источнике событий.
Примечание По умолчанию оснастка MMC Локальные пользователи и группы не позволяет добавлять учетные записи компьютера. В диалоговом окне Выбор пользователей, компьютеров или групп нажмите кнопку Типы объектов и установите флажок Компьютеры. После этого будет разрешено добавление учетных записей компьютеров.
-
Настройка компьютеров для пересылки и сбора событий завершена. Следуйте указаниям раздела Создание новой подписки для определения типов событий, которые будут пересылаться на компьютер-сборщик событий.
Дополнительная информация
- В среде рабочей группы для настройки
компьютеров на пересылку и сбор событий можно использовать ту же
основную процедуру, которая описана выше. Тем не менее, для рабочих
групп потребуются дополнительные шаги и учет следующих
факторов:
- Подписку можно использовать только в
нормальном режиме (Pull - получение инициирует подписчик).
- На каждом компьютере-источнике необходимо
добавить исключение брандмауэра Windows для управления журналом
удаленных событий.
- На каждом компьютере-источнике к группе
читателей журнала событий необходимо добавить учетную запись с
правами администратора. Эту учетную запись необходимо указать в
диалоге Настройка дополнительных
параметров подписки при создании подписки на
компьютере-сборщике событий.
- Введите
winrm set winrm/config/client @{TrustedHosts="<sources>"}
в командной строке компьютера-сборщика событий, чтобы разрешить всем компьютерам-источникам использовать проверку подлинности NTLM при взаимодействии со службой удаленного управления Windows (WinRM) компьютера-сборщика событий. Эту команду следует выполнить только один раз. Вместо<sources>
в команде следует указать имена всех компьютеров-источников рабочей группы. Имена следует отделять запятыми. Также можно использовать подстановочные знаки, соответствующие компьютерам-источникам. Например, при необходимости настроить множество компьютеров-источников, имя которых начинается с «msft», на компьютере-сборщике событий можно ввести командуwinrm set winrm/config/client @{TrustedHosts="msft*"}
. Чтобы узнать больше об этой команде, введитеwinrm help config.
- Подписку можно использовать только в
нормальном режиме (Pull - получение инициирует подписчик).
- Если при помощи параметра Протокол
HTTPS в диалоге Дополнительные параметры подписки
подписка настроена на использование протокола HTTPS, необходимо
установить также соответствующие исключения брандмауэра Windows для
порта 443. Для подписки, использующей оптимизацию доставки
Обычное (режим PULL), исключение необходимо установить
только на компьютерах-источниках. Для подписки, использующей
оптимизацию доставки либо Уменьшенная пропускная
способность, либо Уменьшенная задержка (режим PUSH),
исключение должно быть установлено и на компьютерах-источниках, и
на компьютере-сборщике событий.
- Если при создании подписки планируется
указать пользовательскую учетную запись при помощи параметра
Определенный пользователь диалога Дополнительные
параметры подписки, необходимо убедиться, что учетная запись
принадлежит к группе локальных администраторов на каждом из
компьютеров-источников на шаге 4, вместо того чтобы добавлять
компьютерную учетную запись компьютера-сборщика событий. Также
можно использовать средство командной строки «Журнал событий
Windows» для предоставления учетной записи доступа к отдельным
журналам. Чтобы узнать больше об этом средстве командной строки,
введите в командной строке wevtutil sl -?