必须配置收集计算机(收集器)和每台将从其收集事件的计算机(源),然后才能创建订阅来收集计算机上的事件。可在
 | 配置域中的计算机以转发和收集事件 |
登录到所有收集器和源计算机。最佳实践是使用具有管理权限的域帐户。
在每台源计算机上,在提升的命令提示符下键入以下命令:
winrm quickconfig
注意 如果要指定“最小化带宽”或“最小化滞后时间”的事件传递优化,则您还必须在收集器计算机上运行以上命令。
在收集器计算机上,在提升的命令提示符下键入以下命令:
wecutil qc
将收集器计算机的计算机帐户添加到每台源计算机上的本地管理员组中。
注意 默认情况下,使用“本地用户和组”MMC 管理单元不能添加计算机帐户。在选择用户、计算机或组对话框中,单击“对象类型”按钮,然后选中“计算机”复选框。然后就可以添加计算机帐户。
现在配置计算机,以转发和收集事件。按照创建新订阅中的步骤指定要转发到收集器的事件。
其他注意事项
-
在工作组环境中,可以按照上述相同基本步骤来配置计算机以转发和收集事件。但是对于工作组,还有以下附加步骤及注意事项:
-
您只能使用正常模式 (Pull) 订阅。
-
必须为每台源计算机上的远程事件日志管理添加 Windows 防火墙例外。
-
必须将具有管理员权限的帐户添加到每台源计算机上的事件日志读取器组。在收集器计算机上创建订阅时,必须在配置高级订阅设置对话框中指定此帐户。
-
在收集器计算机上的命令提示符下键入
winrm set winrm/config/client @{TrustedHosts="<sources>"},从而使所有源计算机在与收集器计算机上的 WinRM 进行通讯时可以使用 NTLM 身份验证。仅运行一次此命令。命令中的<sources>将替换为一系列工作组中所有参与的源计算机的名称。这些名称由逗号分隔。此外,也可以使用通配符来匹配所有源计算机的名称。例如,如果要配置一组源计算机,其中每台计算机的名称都以“msft”开头,则应该在收集器计算机上键入此命令winrm set winrm/config/client @{TrustedHosts="msft*"}。若要了解有关此命令的详细信息,请键入winrm help config.
-
您只能使用正常模式 (Pull) 订阅。
-
如果使用“高级订阅设置”中的“HTTPS”选项来配置订阅以使用 HTTPS 协议,则您还必须为端口 443 设置相应的 Windows 防火墙例外。对于使用“正常”(PULL 模式)传递优化的订阅,您必须仅在源计算机上设置例外。对于使用“最小化带宽”或“最小化滞后时间”(PUSH 模式)传递优化的订阅,您必须在源计算机和收集器计算机上都设置例外。
-
如果要在创建订阅时使用“高级订阅设置”中的“特定用户”选项来指定用户帐户,则必须确保该帐户是步骤 4 中每台源计算机上本地管理员组的成员,而非添加收集器计算机的计算机帐户。此外,还可以使用 Windows 事件日志命令行实用工具向帐户授予访问单独日志的权限。若要了解有关此命令行实用工具的详细信息,请在命令提示符下键入 wevtutil sl -?。