수집하는 컴퓨터(수집기)와 그로부터 이벤트를 수집할 각 컴퓨터(원본)를 모두 구성해야 컴퓨터의 이벤트를 수집하기 위한 가입을 만들 수 있습니다. 이벤트 가입에 대한 업데이트된 정보는
 | 이벤트를 전달하고 수집하도록 도메인에서 컴퓨터를 구성하려면 |
모든 수집기와 원본 컴퓨터에 로그온합니다. 관리 권한이 있는 도메인 계정을 사용하는 것이 좋습니다.
각 원본 컴퓨터의 관리자 권한 명령 프롬프트에서 다음과 같이 입력합니다.
winrm quickconfig
참고 이벤트 배달 최적화를 대역폭 최소화 또는 대기 시간 최소화로 지정하려면 수집기 컴퓨터에서도 위의 명령을 실행해야 합니다.
수집기 컴퓨터에서 관리자 권한 명령 프롬프트에 다음을 입력합니다.
wecutil qc
각 원본 컴퓨터의 로컬 Administrators 그룹에 수집기 컴퓨터의 컴퓨터 계정을 추가합니다.
참고 기본적으로 로컬 사용자 및 그룹 MMC 스냅인에서는 컴퓨터 계정을 추가할 수 없습니다. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 개체 유형 단추를 클릭하고 컴퓨터 확인란을 선택합니다. 그러면 컴퓨터 계정을 추가할 수 있습니다.
이제 이벤트를 전달하고 수집하도록 컴퓨터가 구성되었습니다. 수집기에 전달할 이벤트를 지정하려면 새 가입 만들기의 단계를 수행합니다.
추가 고려 사항
-
작업 그룹 환경에서 위에 설명된 기본적인 절차를 수행하여 이벤트를 전달하고 수집하도록 컴퓨터를 구성할 수 있습니다. 하지만 작업 그룹에 다음과 같은 몇 가지 추가 단계와 고려할 사항이 있습니다.
-
표준 모드(끌어오기) 가입만을 사용할 수 있습니다.
-
각 원본 컴퓨터에 원격 이벤트 로그 관리에 대한 Windows 방화벽 예외를 추가해야 합니다.
-
관리자 권한이 있는 계정을 각 원본 컴퓨터의 Event Log Readers 그룹에 추가해야 합니다. 수집기 컴퓨터에서 가입을 작성할 때 고급 가입 설정 구성 대화 상자에서 이 계정을 지정해야 합니다.
-
수집기 컴퓨터의 명령 프롬프트에
winrm set winrm/config/client @{TrustedHosts="<sources>"}를 입력하여 모든 원본 컴퓨터가 수집기 컴퓨터의 WinRM과 통신할 때 NTLM 인증을 사용하도록 허용합니다. 이 명령을 한 번만 실행합니다. 명령에<sources>가 나타나면 작업 그룹에 참여하는 모든 원본 컴퓨터의 이름 목록으로 대체합니다. 이름을 쉼표로 구분합니다. 또는 와일드카드를 사용하여 모든 원본 컴퓨터의 이름에 일치시킬 수 있습니다. 예를 들어 이름이 "msft"로 시작하는 각 원본 컴퓨터 세트를 구성하려면 수집기 컴퓨터에 명령winrm set winrm/config/client @{TrustedHosts="msft*"를 입력하면 됩니다. 이 명령에 대한 자세한 내용을 보려면winrm help config를 입력합니다.
-
표준 모드(끌어오기) 가입만을 사용할 수 있습니다.
-
고급 가입 설정에서 HTTPS 옵션을 사용하여 HTTPS 프로토콜을 사용하도록 가입을 구성하는 경우에는 포트 443에 대해 해당 Windows 방화벽 예외도 설정해야 합니다. 표준(끌어오기 모드) 배달 최적화를 사용하는 가입의 경우에는 원본 컴퓨터에서만 예외를 설정해야 합니다. 대역폭 최소화 또는 대기 시간 최소화(밀어넣기 모드) 배달 최적화를 사용하는 가입의 경우에는 원본 및 수집기 컴퓨터 모두에 예외를 설정해야 합니다.
-
가입을 만들 때 고급 가입 설정의 특정 사용자 옵션을 사용하여 사용자 계정을 지정하려면 수집기 컴퓨터의 컴퓨터 계정을 추가하는 대신 4단계에서의 계정이 각 원본 컴퓨터에서 로컬 Administrators 그룹의 구성원인지 확인해야 합니다. 또는 Windows 이벤트 로그 명령줄 유틸리티를 사용하여 개별 로그에 대한 계정 액세스를 부여할 수도 있습니다. 이 명령줄 유틸리티에 대해 자세히 보려면 명령 프롬프트에 wevtutil sl -?를 입력합니다.