У меня возникла проблема при попытке использовать настраиваемый журнал журнала для хранения перенаправленных событий (по подписке) на сервере Windows 2008 R2, при этом настраиваемый журнал описывается как не «действительный журнал назначения».
В настоящее время я настраиваю архитектуру для централизации событий Windows с использованием встроенных возможностей пересылки и сбора событий (через WS-management и wecutil).
Одно из моих требований - иметь возможность создавать несколько подписок на машине-сборщике и хранить перенаправленные события в разных файлах журнала. Для этого я протестировал создание настраиваемого журнала (называемого CustomLog). Этот журнал отображается в средстве просмотра событий в категории «Журналы приложений и служб».
Однако я не могу перенаправить перенаправленные события в этот CustomLog. CustomLog не отображается в списке возможных мест назначения при создании подписки в пользовательском интерфейсе средства просмотра событий.
Чтобы попробовать, что может быть не так, я оставил для него значение по умолчанию ForwardedEvents в качестве пункта назначения и попытался изменить его через Powershell. Я выполнил следующую команду, которая должна установить журнал назначения как CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
Он прошел без ошибок. Хотя в CustomLog не регистрируются никакие события, и когда я возвращаюсь в графический интерфейс для создания / изменения подписок и пытаюсь открыть установленную подписку, я получаю всплывающее окно со следующим текстом:
Журнал назначения, определенный в этой подписке, не может быть найден в списке допустимых журналов назначения на этом компьютере. убедитесь, что этот журнал существует на компьютере и является местом назначения для перенаправленных событий. Обратите внимание, что классические журналы, аналитические журналы и журналы отладки и журнал безопасности нельзя использовать в качестве места назначения.
Кто-нибудь знает, что такое «действительный журнал назначения» и как я могу превратить свой CustomLog в такое допустимое место назначения?
В следующем блоге Microsoft подробно описаны шаги по созданию отдельных файлов журнала. Фактически, вы можете создать любое количество файлов журнала. Я только что выполнил эти шаги и могу подтвердить, что он работает в Windows 10.
Создание настраиваемых журналов пересылки событий Windows
Сделав шаг вперед, я нашел следующий блог Microsoft полезным для настройки многоуровневой архитектуры.
Мониторинг клиентов DIY - Настройка многоуровневой пересылки событий
wecutil позволяет использовать XML-файл для предоставления информации о конфигурации. Вы можете попробовать разместить CustomLog в качестве целевого пункта назначения.
Видеть https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx
Он содержит образец XML-файла, который вы можете использовать
Пожалуйста, посмотрите также на https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event-collector-source- инициировал? forum = winservergen
Это говорит о том, что это может быть невозможно, но предлагает решение XML в качестве опции, но без какого-либо подтверждения успеха.