Question Qu'est-ce qu'un journal de destination valide pour le transfert d'événements Windows?


Je rencontre un problème lorsque j'essaie d'utiliser un journal de journal personnalisé pour stocker les événements transférés (par abonnement) sur un serveur Windows 2008 R2, le journal personnalisé étant décrit comme n'étant pas un "journal de destination valide".

Je suis en train de mettre en place une architecture pour centraliser les événements Windows à l'aide des fonctionnalités intégrées de transfert et de collecte d'événements (via WS-management et wecutil).

L'une de mes exigences est de pouvoir créer plusieurs abonnements sur la machine du collecteur et de stocker les événements transférés dans différents fichiers journaux. Pour cela, j'ai testé la création d'un journal personnalisé (appelé CustomLog). Ce journal apparaît dans l'observateur d'événements, sous la catégorie "Journaux d'applications et de services".

Cependant, je ne peux pas rediriger les événements transférés vers ce CustomLog. CustomLog n'apparaît pas dans la liste des destinations possibles lors de la création d'un abonnement dans l'interface utilisateur de l'Observateur d'événements.

Pour essayer ce qui pourrait ne pas être correct, je l'ai laissé avec la destination par défaut ForwardedEvents et j'ai essayé de le changer via Powershell. J'ai exécuté la commande suivante, qui est supposée définir le journal de destination comme CustomLog:

wecutil ss "Collect from both sources" /lf:CustomLog

Il a fonctionné sans erreur. Bien qu'aucun événement ne soit connecté à CustomLog, et lorsque je retourne à l'interface graphique pour créer / modifier des abonnements et que j'essaie d'ouvrir l'abonnement que j'ai défini, une fenêtre contextuelle indiquant ce qui suit est affichée:

Le journal de destination défini dans cet abonnement est introuvable dans la liste des journaux de destination valides sur cet ordinateur. vérifiez que ce journal existe sur l'ordinateur et qu'il est valide en tant que destination pour les événements transférés. Notez que les journaux classiques, les journaux d'analyse et de débogage et le journal de sécurité ne peuvent pas être utilisés comme destination.

Est-ce que quelqu'un sait ce qu'est un "journal de destination valide" et comment je peux transformer mon CustomLog en une destination aussi valide?


8
2017-07-10 11:41


origine




Réponses:


Le blog Microsoft suivant détaille les étapes à suivre pour créer des fichiers journaux séparés. En fait, vous pouvez créer un nombre illimité de fichiers journaux. Je viens de terminer les étapes et je peux confirmer que cela fonctionne sous Windows 10.

Création de journaux de transfert d'événements Windows personnalisés

Pour aller un peu plus loin, j'ai trouvé le blog Microsoft suivant utile pour la configuration d'une architecture à plusieurs niveaux.

DIY Client Monitoring - Configuration de la transmission d'événements à plusieurs niveaux


1
2017-08-24 23:26





wecutil permet à un fichier XML d’être utilisé pour fournir des informations de configuration. Vous pouvez essayer de placer CustomLog comme destination cible.

Voir https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Il contient un exemple de fichier XML que vous pouvez utiliser

S'il vous plaît regardez aussi à https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event-collector-sollector-source- initié? forum = winservergen

Cela suggère que cela pourrait ne pas être possible, mais offre la solution XML en option, mais sans aucune confirmation de succès.


0
2017-10-14 09:34