Innan du kan skapa en prenumeration för insamling av händelser till en dator, måste du konfigurera den insamlande datorn (insamlare) och varje dator från vilka händelser ska samlas in (källa). Uppdaterad information om händelseprenumerationer kan finnas på sidan Händelseprenumerationer.

Konfigurera datorer i en domän så att de vidarebefordrar och samlar in händelser
  1. Logga in till alla insamlare- och källdatorer. De är bäst att använda ett domänkonto med administratörsprivilegier.

  2. Skriv in följande i en upphöjd kommandotolk på varje källdator:

    winrm quickconfig
    OBS

    Om du tänker ange en optimering av händelseleverans på Minimera bandbredd eller Minimera svarstid kör du också ovanstående kommando på insamlardatorn.

  3. På insamlardatorn anger du följande i en förhöjd kommandotolk:

    wecutil qc
  4. Lägg till datorkontot för den insamlande datorn i den lokala administratörsgruppen på varje källdator.

    OBS

    Som standard kan du inte lägga till datorkonton i MMC-snapin-modulen för Lokala användare och grupper. Klicka på knappen Objekttyper i dialogrutan Välj användare, datorer och grupper och markera kryssrutan Datorer. Nu kan du lägga till datorkonton.

  5. Datorerna har konfigurerats så att de vidarebefordrar och samlar in händelser. Ange vilka händelser som du vill ska vidarebefordras till insamlaren genom att följa stegen i Skapa en prenumeration.

Ytterligare hänsyn

  • I en arbetsgruppsmiljö kan du följa samma grundläggande procedur som beskrivs ovan när du konfigurerar datorer så att de vidarebefordrar och samlar händelser. Men det finns ytterligare steg och aspekter att tänka på för arbetsgrupper:

    • Du kan endast använda prenumerationer i Normal-läge (Pull).

    • Du måste lägga till ett undantag för Windows-brandväggen för Fjärrhantering av händelseloggen på varje källdator.

    • Du måste lägga till ett konto med administratörsprivilegier i varje händelseloggläsaregrupp på varje källdator. Du måste ange inställningarna för det här kontot i dialogrutan Konfigurera avancerade prenumerationsinställningar när du skapar en prenumeration på insamlardatorn.

    • Skriv winrm set winrm/config/client @{TrustedHosts="<sources>"} vid en kommandotolk på insamlardatorn så att alla källdatorer använder NTLM-autentisering när de kommunicerar med WinRM på insamlardatorn. Kör endast det här kommandot en gång. Ersätt <sources> i kommandot med en lista över namnen på alla de deltagande källdatorerna i arbetsgruppen. Använd kommatecken som avgränsare. Du kan också använda jokertecken för att matcha namnen på alla källdatorer. Om du till exempel vill konfigurera en uppsättning källdatorer, vars namn börjar med "msft", skriver du det här kommandot winrm set winrm/config/client @{TrustedHosts="msft*"} på insamlardatorn. Du får mer information om det här kommandot om du skriver winrm help config.

  • Om du konfigurerar en prenumeration för användning av HTTPS-protokollet med hjälp av alternativet HTTPS i Avancerade prenumerationsinställningar måste du också ange motsvarande Windows Firewall-undantag för port 443. För en prenumeration som använder leveransoptimeringen Normal (PULL-läge) får du bara ange undantaget på källdatorerna. För en prenumeration som använder någon av leveransoptimeringarna Minimera bandbredd eller Minimera svarstid (PUSH-läge) måste du ställa in undantaget i både käll- och insamlardatorerna.

  • Om du tänker ange ett användarkonto med hjälp av alternativet Specifik användare i Avancerade prenumerationsinställningar när du skapar prenumerationen måste du kontrollera att kontot är medlem i den lokala gruppen Administratörer på alla källdatorerna i steg 4, i stället för att lägga till insamlardatorns datorkonto. Du kan också använda kommandoradsverktyget Händelseloggen för Windows och ge ett konto åtkomst till enskilda loggar. Mer information om det här kommandoradsverktyget visas om du skriver wevtutil -? i kommandotolken.