Bevor Sie ein Abonnement zum Sammeln von Ereignissen auf einem Computer erstellen können, müssen Sie sowohl den Computer konfigurieren, der die Daten sammelt (Sammlungscomputer), als auch denjenigen, von dem die Ereignisse zusammengetragen werden (Quellcomputer). Aktualisierte Informationen über Ereignisabonnements sind möglicherweise online unter Ereignisabonnements verfügbar (möglicherweise in englischer Sprache).

So konfigurieren Sie Computer in einer Domäne, um Ereignisse weiterzuleiten und zu sammeln

  1. Melden Sie sich an allen Sammlungs- und Quellcomputern an. Eine bewährte Methode ist das Verwenden eines Domänenkontos mit Administratorberechtigungen.

  2. Geben Sie auf jedem Quellcomputer folgende Befehle an einer Eingabeaufforderung mit erhöhten Rechten
 ein:

    winrm quickconfig
    Hinweis

    Wenn Sie beabsichtigen, eine Ereigniszustellungsoptimierung für Bandbreite minimieren oder Wartezeit minimieren anzugeben, dann müssen Sie auch den oben genannten Befehl auf dem Sammlungscomputer ausführen.

  3. Geben Sie Folgendes auf dem Sammlungscomputer an einer Eingabeaufforderung mit erhöhten Rechten
 ein:

    wecutil qc

  4. Fügen Sie das Computerkonto des Sammlungscomputers zur lokalen Gruppe der Administratoren auf den einzelnen Quellcomputern hinzu.

    Hinweis

    Standardmäßig können Sie im MMC-Snap-In Lokale Benutzer und Gruppen keine Computerkonten hinzufügen. Klicken Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen auf die Schaltfläche Objekttypen, und aktivieren Sie das Kontrollkästchen Computer. Danach sind Sie in der Lage, Computerkonten hinzuzufügen.

  5. Die Computer sind jetzt zum Weiterleiten und Sammeln von Ereignissen konfiguriert. Führen Sie die Schritte unter Erstellen eines neuen Abonnements aus, um die Ereignisse anzugeben, die zum Sammlungscomputer weitergeleitet werden.

Weitere Überlegungen

  • In einer Arbeitsgruppenumgebung können Sie dieselben oben aufgeführten grundlegenden Verfahren ausführen, um Computer für das Weiterleiten und Sammeln von Ereignissen zu konfigurieren. Es gibt jedoch einige zusätzliche Schritte und Überlegungen für Arbeitsgruppen:

    • Sie können nur (Pull-)Abonnements im Normalmodus verwenden.

    • Sie müssen eine Ausnahme für die Windows-Firewall für Remote-Ereignisprotokollverwaltung auf jedem Quellcomputer hinzufügen.

    • Sie müssen ein Konto mit Administratorrechten zu der Ereignisprotokollleser-Gruppe auf jedem Quellcomputer hinzufügen. Sie müssen dieses Konto im Dialog Konfigurieren erweiterter Abonnementeinstellungen, wenn Sie ein Abonnement auf dem Sammlungscomputer erstellen.

    • Geben Sie winrm set winrm/config/client @{TrustedHosts="<sources>"} an der Befehlszeile auf dem Sammlungscomputer ein, um für alle Quellcomputer die Verwendung von NTLM-Authentifizierung bei der Kommunikation mit WinRM auf dem Sammlungscomputer zu ermöglichen. Führen Sie diesen Befehl nur einmal aus. Ersetzen Sie eine Liste mit den Namen aller teilnehmenden Quellcomputer in der Arbeitsgruppe, wo <sources> im Befehl angezeigt wird. Trennen Sie die Namen durch Kommas. Alternativ können Sie auch Platzhalter verwenden, um den Namen aller Quellcomputer zu entsprechen. Beispielsweise können Sie diesen Befehl winrm set winrm/config/client @{TrustedHosts="msft*"} auf dem Sammlungscomputer eingeben, wenn Sie eine Reihe von Quellcomputern konfigurieren möchten, deren Name mit "msft" beginnt. Geben Sie winrm help config. ein, um mehr über diesen Befehl zu erfahren.

  • Wenn Sie ein Abonnement so konfigurieren, dass das HTTPS-Protokoll die HTTPS-Option unter Erweiterte Abonnementeinstellungen verwendet, müssen Sie auch die entsprechenden Windows-Firewall-Ausnahmen für Port 443 festlegen. Bei einem Abonnement, das die Zustellungsoptimierung Normal (Pullmodus) verwendet, müssen Sie die Ausnahme nur auf den Quellcomputern festlegen. Bei einem Abonnement, das entweder die Zustellungsoptimierung Bandbreite minimieren oder Wartezeit minimieren (Pushmodus) verwendet, müssen Sie die Ausnahme sowohl auf dem Quell- als auch auf dem Sammlungscomputer festlegen.

  • Wenn Sie vorhaben, ein Benutzerkonto über die Option Bestimmter Benutzer unter Erweiterte Abonnementeinstellungen beim Erstellen des Abonnements anzugeben, müssen Sie in Schritt 4 sicherstellen, dass das Konto Mitglied der lokalen Gruppe Administratoren auf den einzelnen Quellcomputern ist, anstatt das Computerkonto des Sammlungscomputers hinzuzufügen. Als Alternative können Sie das Befehlszeilenprogramm Windows-Ereignisprotokoll verwenden, um einem Konto Zugriff auf einzelne Protokolle zu erteilen. Geben Sie an der Befehlszeile wevtutil sl -? ein, um mehr über dieses Befehlszeilen-Dienstprogramm zu erfahren.

Inhaltsverzeichnis