事件日志订阅-基于 源已启动
Windows事件日志订阅有两种模式:
收集器已启动:配置简单,客户端启用winrm quickconfig –q即可,然后在收集器中只能单台计算机进行添加,需要添加Event Log Readers权限用户
源已启动:通过组策略配置,可以针对计算机组进行添加
下面实验为基于 源已启动。
Subscription Manager:Win08r22(Windows Server 2008 R2)
Forwarder:win0832(Windows Server 2008)、win08rp4(windows Server 2008 R2)、DC00(windows server 2012)
客户端(Forwarder)配置均通过组策略实现:
1.为客户端添加Event Log Readers组成员:
计算机配置-windows设置-安全设置-受限制的组:Event Log Readers—NETWORK SERVICE
说明:如果不添加NETWORK SERVICE账户,则Windows Server 2008会订阅不成功,报错信息为:The subscription “” can not be created.The error code is 5004.
如果客户端都是Windows Server 2008 R2或2012则可以省略该步骤。
添加NETWORK SERVICE账户到Event Log Readers组后,需要重启计算机生效(如果2008 R2和2012出现“访问被拒绝”的错误提示,则重启后正常)。
2. 为客户端配置目标订阅管理器:
管理模板-Windows组件-事件转发-配置目标订阅管理器
启用 值为: server=win08r22.testw.com,如下:
3.为客户端配置WinRM服务:(该策略可启用客户端的Winrm并对其进行配置,只有Windows Server2012默认已启用并配置好,Windows 2008 R2也需要通过策略才能生效)
管理模板-Windows组件-Windows远程管理-WinRM服务-允许通过WinRM进行远程服务器管理 (注:该步骤相当于在客户端执行“winrm quickconfig -q”命令,撤销该条策略后会失效)
启用 Ipv4筛选器 *,如下图:
服务器端(Subscription Manager)配置:
1. Windows Firewall服务必须启用,否则新建的订阅会出现“访问被拒绝”的错误提示。防火墙配置文件均设置为“关闭”即可。
2. 新建订阅:
订阅类型和源计算机选择“源计算机已启动”—选择计算机组(在AD中新建一个包含Forwarder计算机的组),在此处也可以直接添加计算机名称
选择事件—按需选择即可
配置高级设置—默认即可
配置成功后如下:
排错:
客户端(Windows Server 2008 R2、Windows Server 2012)报错信息:
| The forwarder is having a problem communicating with subscription manager at address win08r22.testw.com. Error code is 5 and Error Message is <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="WIN08r4p.testw.com"><f:Message>Access is denied. </f:Message></f:WSManFault>. |
客户端(Windows Server 2008)报错信息和R2不同,如下:
The subscription “” can not be created.The error code is 5004.
两种错误都是由于“network service”账户访问远程客户端上的security日志权限不足导致,重启服务器后即可(要保证network service账户已经添加到Event Log Readers组中)
查看winrm监听器:
Winrm e winrm/config/listener
