4.3 事件收集

Windows Server 2008支持收集其他计算机的事件日志功能，从而做到集中分析和监控计算机的状态。在收集的过程中，确切地指定将收集哪些事件以及将其存储在本地的哪个日志中，激活订阅并收集事件后，就可以像对任何存储在本地的事件一样查看和操作这些转发的事件。

4.3.1 部署订阅

使用事件收集功能需要同时配置源计算机（Windows Server 2008和Windows Vista）和收集计算机（Windows Server 2008和Windows Vista），此功能依赖于Windows远程管理（WinRM）服务和Windows事件收集器（Wecsvc）服务，这两项服务必须在参与转发和收集过程的计算机上运行，目前只有运行Windows Server 2008和Windows Vista操作系统的计算机支持此功能。

1. 配置源计算机

源计算机为产生日志的计算机，包括服务器、客户端计算机。Windows Server 2008的服务器和Windows Vista客户端计算机启用事件收集功能方法相同，本例以Windows Vista为例，说明如何启用远程管理以及事件收集功能。

（1）启用远程管理功能

第1步，选择“开始”→“运行”命令，显示“运行”对话框，在文本框中，键入“cmd”命令，单击“确定”按钮，显示如图4-19所示的命令行窗口。

第2步，在命令行提示符下，键入如下命令：

      Winrm Quickconfig

按Enter键，命令成功执行，显示如图4-20所示的窗口，提示管理员是否要启用远程管理工具。

第3步，键入“Y”，启动远程管理服务，如图4-21所示。

（2）将Domain Admins组中的成员加入到本地管理员组

收集客户端计算机的服务器采集客户端计算机事件日志时，必须具备对客户端计算机具备至少是读取的权限，建议将Domain Admins组中的成员加入到客户端计算机的本地管理员组中。

第1步，右击“计算机”，在弹出的快捷菜单中选择“管理”命令，显示如图4-22所示的“计算机管理”窗口。

第2步，选择“计算机管理”→“系统工具”→“本地用户和组”→“组”选项，显示如图4-23所示的“计算机管理”窗口。

第3步，在右侧窗口中，右击“Administrators”组，在弹出的快捷菜单中选择“属性”命令，显示如图4-24所示的“Administrators属性”对话框。

① 单击“添加”按钮，显示如图4-25所示的“选择用户、计算机或组”对话框。

② 单击“高级”按钮，显示如图4-26所示的“选择用户、计算机或组”高级对话框。

③ 单击“立即查找”按钮，在“搜索结果”列表中，显示当前域中所有可用的用户、计算机上或组，如图4-27所示。

④ 选择目标用户，单击“确定”按钮，关闭“选择用户、计算机或组”高级对话框，返回到“选择用户、计算机或组”对话框，如图4-28所示。

⑤ 单击“确定”按钮，关闭“选择用户、计算机或组”对话框，返回到“Administrators属性”对话框，将选择的目标用户添加到“成员列表”中，如图4-29所示。

第4步，单击“确定”按钮，完成本地管理员组成员的添加。

2. 配置收集服务器

收集服务器建议使用独立服务器，每台需要收集事件的计算机或者服务器将产生大量的事件日志，如果是应用程序服务器产生的事件会更多。

（1）更改服务模式

在事件收集服务器上，配置制事件订阅服务。

第1步，选择“开始”→“运行”命令，显示“运行”对话框，在文本框中，键入“cmd”，单击“确定”按钮，显示如图4-30所示的命令行窗口。

第2步，在命令行提示符下，键入如下命令：

      wecutil qc

按Enter键，命令成功执行，显示如图4-31所示的窗口，提示更改服务启动模式。

第3步，键入“Y”，成功配置事件收集服务器，如图4-32所示。

（2）NTLM身份验证

第1步，在命令行窗口中，在命令行提示符下，键入如下命令：

      winrm set winrm/config/client @{TrustedHosts="dc.book.com,vista.book.com"}

按Enter键，命令成功执行，显示如图4-33所示的窗口，使所有源计算机在与收集服务器上的WinRM进行通信时使用NTLM身份验证，运行一次命令即可。

4.3.2 创建订阅

客户端计算机和数据服务器配置完成后，在收集服务器上创建订阅任务，任务部署完成在后台自动运行，监控数据源计算机上的“一举一动”。

第1步，选择“开始”→“管理工具”→“服务器管理器”选项，显示如图4-34所示的“服务器管理”窗口。

第2步，选择“服务器管理器”→“诊断”→“事件查看器”→“订阅”选项，显示如图4-35所示的“服务器管理器”窗口。

第3步，右击“订阅”，在弹出的快捷菜单中选择“创建订阅”命令，显示如图4-36所示的“订阅属性”对话框。

（1）在“订阅名称”文本框中，键入订阅任务的名称。

（2）在“目标日志”下拉列表框中，选择收集的日志存储目标，例如选择“系统”日志。

（3）在“订阅类型和源计算机”分组区域中，选择“收集器已启动”选项。单击“选择计算机”按钮，显示如图4-37所示的“计算机”对话框。

① 单击“添加域计算机”按钮，显示如图4-38所示的“选择计算机”对话框。

② 单击“高级”按钮，显示如图4-39所示的“计算机”高级对话框。

③ 单击“立即查找”按钮，在“搜索结果”列表中，显示当前域中所有可用的计算机名称，如图4-40所示。

④ 选择目标计算机，单击“确定”按钮，关闭“计算机”高级对话框，返回到“计算机”对话框，如图4-41所示。

⑤ 单击“确定”按钮，关闭“选择计算机”对话框，返回到“计算机”对话框，如图4-42所示。

⑥ 使用同样的方法，可以将需要收集日志的计算机添加进来，添加完成的计算机如图4-43所示。

⑦ 单击“确定”按钮，关闭“计算机”对话框，返回到“订阅属性”对话框。

（4）在“订阅属性”对话框中，单击“选择事件”按钮，显示如图4-44所示的“查询筛选器”对话框。

① 在“记录事件”下拉列表框中，选择事件的记录时间，默认为“任何时间”。

② 在“事件级别”区域，选择收集的事件类型。

③ 选择“按日志”选项，在“事件日志”下拉列表中，选择事件日志类型，如图4-45所示。

④ 其他选项，根据实际需要选择即可。

⑤ 单击“确定”按钮，显示如图4-46所示的“事件查看器”对话框，提示管理员选择事件的种类超过10个，将影响系统性能。

⑥ 单击“是”按钮，返回到“订阅属性”对话框。

（5）单击“高级”按钮，显示如图4-47所示的“高级订阅设置”对话框。

① 设置收集目标计算机使用的账户，选择的账户至少具备“读取”目标计算机日志的权限。选择“特定用户”选项，显示如图4-48所示的“高级订阅设置”对话框。

② 单击“用户和密码”按钮，显示如图4-49所示的“订阅源的凭据”对话框，键入用户名和密码。

③ 单击“确定”按钮，关闭“订阅源的凭据”对话框，返回到“高级订阅设置”对话框。

④ 在“事件传递优化”分组区域中，选择事件传递方式。

● 正常：此选项确保可靠地传递事件，但不尝试保留带宽。除非需要严格控制带宽使用或需要尽可能快地传递所转发的事件，否则适于选择此选项。此选项使用拉传递模式，每次批量处理5个项目并将批次超时设置为15分钟。

● 最小化带宽：此选项确保严格控制事件传递对网络带宽的使用。如果要限制为传递事件而进行网络连接的频率，则适于选择此选项。此选项使用推传递模式，并将批次超时设置为6小时。此外，还使用6小时的检测信号间隔。

● 最小化滞后时间：此选项确保以最小的延迟传递事件。如果正在收集警报或关键事件，则适于选择此选项。此选项使用推传递模式，并将批次超时设置为30 s。

⑤ “协议”和“端口”使用默认值即可

⑥ 单击“确定”按钮，关闭“高级订阅设置”对话框，返回到“订阅属性”对话框，如图4-50所示。

第4步，单击“确定”按钮，完成订阅的设置，如图4-51所示。

4.3.3 阅览事件

事件完成后，查看其他计算机的事件和查看本地计算机的事件方法相同，如果事件过多，管理员可以使用“筛选”功能，查找需要的日志。

第1步，登录事件收集服务器，打开“服务器管理器”窗口，选择“服务器管理器”→“诊断”→“事件查看器”→“Windows日志”选项，显示如图4-52所示的“服务器管理器”窗口。

第2步，选择“系统”选项，显示事件收集服务器已经收集的所有事件，如图4-53所示。

第3步，右击“系统”，在弹出的快捷菜单中选择“筛选当前日志”命令，显示如图4-54所示的“筛选当前日志”对话框。

第4步，在“计算机”文本框中，键入要筛选的目标计算机名称，例如Vista.book.com，如图4-55所示。

第5步，单击“确定”按钮，从事件收集服务器中筛选出目标计算机的所有日志，如图4-56所示。