Windows Server 2008实现服务器事件日志
的转发和订阅
事件日志管理是服务器维护中的一项非常重要的日常工作,当然也是一项耗费精力、体力的工作,特别是当局域网中有非常多的应用服务器时更是如此。一个好的管理方案是,部署一个专门用于事件日志管理的中央服务器,然后将其他服务器上的日志转发到该中央服务器上实施集中管理。不过,这需要利用第三方软件来实现。在Windows Server 2008中提供了一项新功能,通过它我们可以实现服务器事件日志的转发和订阅,就可以自定义将特定的服务器事件日志集中起来管理了。
环境描述:
本文以域环境为例进行演示,有两台服务器:一台为08Route,作为源服务器,以转发日志到日志服务器;一台为RGsoft,作为日志服务器,以订阅源服务器上转发的日志。
任务目标:
将08Route服务器过去的24小时内ID为100的错误系统日志实时转发到日志服务器RGsoft中,并且一旦08Route上有符合设定的日志,在RGsoft上会以消息框的形式通知管理员。
实现过程:
1.创建自定义视图
以管理员身份登录08Route服务器,依次单击“开始”→“运行”,输入eventvwr.msc 打开“事件查看器”窗口。在左窗格中点击选中“自定义视图”,
然后点击展开“操作”菜单选择“创建自定义视图”命令。
在“创建自定义视图”向导窗口的“筛选器”标签页中,设置“记录时间”为“过去的
24小时”,“事件级别”为“错误”,“事件日志”为“系统”。
设置完毕后单击“确定”退出,在弹出的“将筛选器保存到自定义视图”对话框中,我们为视图命名为“Error Events (24 hours)”,然后“确定”退出。这样可以在“自定义视图”下看到刚才创建的名为“Error Events (24 hours)”的视图。
2.将自定义事件添加到系统日志
为了检验我们创建的自定义视图的效果,即创建一个自定义的特定事件,然后看看在自定义视图中是否会出现。
在08Route服务器中以管理员身份运行命令提示符,然后执行一个事件命令:
Eventcreate /T ERROR /ID 100 /L SYSTEM /D "Application Error #1" /SO MyApp
可以看到该命令成功执行,通过该命令我们自定义了一个事件。
Eventcreate命令用于创建事件日志,参数“/T”用于指定事件的级别为“ERROR”,参数“/ID”用于指定事件ID为“100”,参数“/L”用于指定事件的类型为“SYSTEM”,参数“/D”是事件的描述“Application Error #1”,参数“/SO”是事件的来源即“MyApp”。
3.创建事件订阅
以管理员身份登录08Route服务器,进入其“事件查看器”控制台窗口。点击其最下面的“订阅”项,此时会弹出一个对话框询问我们是否要启动“Windows事件收集器服务”,点击“是”启动该服务。
然后右键单击“订阅”在右键菜单中选择“创建订阅”命令弹出“订阅属性”对话框。
的系统错误事件;
要订阅事件日志的服务器添加进来,
单击“确定”返回到“订阅属性”对话框。
在此,我们可按照上面的方法添加多个服务器。添加完毕后,单击下面右侧的“测试”按钮以验证刚才添加的服务器的有效性。如果弹出一个错误对话框,
我们不用管单击“确定”即可。之所以弹出这个错误对话框,是因为RGsoft上的WimRM 没有启动并配置,我们后续进行配置即可。
返回到“订阅属性”对话框,单击“选择事件”按钮进入“查询筛选器”对话框。在该对话框中进行如下设置:
设置“记录时间”为“过去的24小时”,事件级别为“错误”,事件日志为“Windows
日志\系统”,事件ID为“100”,设置完毕后退出“选择事件”对话框。
在订阅属性”对话框,单击“高级”按钮进入“高级订阅设置”对话框。
在该对话框中设置“用户账户”为“具体用户”,然后单击右侧的“用户和密码”按钮弹出“订阅源的凭据”对话框。默认用户名为administrator,在下面输入管理员的密码即可。
然后设置“事件传递优化”方式为“最小化滞后时间”,协议和端口保持默认。
最后单击“确定”退出“订阅属性”对话框,此时会弹出“事件查看”提升对话框告诉我们下一步的做法,单击“是”退出即可。
此时,从“事件查看器”控制台的“订阅”节点中可以看见我们刚才创建的订阅,不过却显示为一个红色的惊叹号,这是因为RGsoft的WimRM没有启动并配置。
4.启动并配置WimRM
以管理员身份登录服务器RGsoft,然后以管理员身份运行命令提示符,执行命令:
WINRM QuickConfig
快速配置WinRM。命令执行时,会提示WindRM客户端会处于监听状态,并且可穿越防火墙,询问我们是否改变,属于“y”并回车后RGsoft上的WinRM快速配置完毕。