您必須先設定要進行收集的電腦 (收集器) 及要從中收集事件的每台電腦 (來源),才能建立訂閱以收集電腦上的事件。您可以在
 | 若要設定網域中的電腦來轉寄及收集事件 |
登入到所有的收集器和來源電腦。以系統管理權限使用網域帳戶是最好的作法。
在每台來源電腦上已升級的命令提示字元中,輸入下列內容:
winrm quickconfig
附註 若要指定 [最低頻寬] 或 [減少延遲] 的事件傳遞最佳化,則您也必須在收集器電腦上執行上述命令。
在收集器電腦上,於出現的命令提示字元中輸入下列命令:
wecutil qc
將收集器電腦的電腦帳戶新增到每台來源電腦上的本機 Administrators 群組。
附註 依預設,[本機使用者和群組] MMC 嵌入式管理單元不會讓您新增電腦帳戶。在 [選取使用者、電腦或群組] 對話方塊中,按一下 [物件類型] 按鈕,選取 [電腦] 核取方塊。然後您便可新增電腦帳戶。
現在已將電腦設定為可轉送和收集事件。請遵循建立新訂閱中的步驟,以指定您要轉送給收集器的事件。
其他考量
-
在工作群組環境中,您可以依照上述的相同基本程序,設定電腦來轉寄和收集事件。然而,工作群組還有其他步驟和注意事項:
-
您只能使用標準模式 (Pull) 訂閱。
-
您必須為每一台來源電腦,針對遠端事件記錄檔管理新增 Windows 防火牆例外。
-
您必須將具有系統管理員權限的帳戶,新增到每一台來源電腦上的 Event Log Readers 群組。在收集器電腦上建立訂閱時,必須在 設定進階訂閱設定 對話方塊中指定此帳戶。
-
在收集器電腦的命令提示字元中輸入
winrm set winrm/config/client @{TrustedHosts="<sources>"},允許所有來源電腦在與收集器電腦上的 WinRM 通訊時使用 NTLM 驗證。這個命令只能執行一次。其中<sources>會出現在命令中,替代工作群組中所有參與來源電腦名稱的清單。以逗號分隔名稱。此外,您可以使用萬用字元來符合所有來源電腦的名稱。例如,如果您要設定一組來源電腦,且每一台來源電腦名稱的開頭都是 "msft",則可在收集器電腦上輸入這個命令winrm set winrm/config/client @{TrustedHosts="msft*"}。若要深入了解此命令,請輸入winrm help config.
-
您只能使用標準模式 (Pull) 訂閱。
-
若要使用 [進階訂閱設定] 中的 [HTTPS] 選項,設定訂閱來使用 HTTPS 通訊協定,則也必須為連接埠 443 設定對應的 Windows 防火牆例外。針對 [標準] (PULL 模式) 傳遞最佳化的訂閱,您必須只能在來源電腦上設定例外。針對使用 [最低頻寬] 或 [減少延遲] (PUSH 模式) 事件傳遞最佳化的訂閱,則必須在來源和收集器電腦上設定例外。
-
如果您要在建立訂閱時,使用 [進階訂閱設定] 中的 [特定的使用者] 選項來指定使用者帳戶,則必須確定該帳戶是步驟 4 中每一台來源電腦的本機 Administrators 群組成員,而非新增收集器電腦的電腦帳戶。此外,您可以使用 Windows 事件記錄檔命令列公用程式來授與個別記錄檔的帳戶存取權。若要深入了解此命令列公用程式,請在命令提示字元中輸入 wevtutil sl -?。