Para poder crear una suscripción para recopilar eventos en un equipo, debe configurar el equipo de recopilación (recopilador) y cada equipo desde el que se recopilarán los eventos (origen). Puede haber información actualizada en línea acerca de las suscripciones de eventos en
Para configurar equipos en un dominio para reenviar y recopilar eventos |
Inicie sesión en todos los equipos recopiladores y de origen. Se recomienda usar una cuenta de dominio con privilegios administrativos.
En cada equipo de origen, escriba lo siguiente en un símbolo del sistema con privilegios elevados:
winrm quickconfig
Nota Si tiene intención de especificar una optimización de entrega de evento de Minimizar el ancho de banda o Minimizar latencia, ejecute también el comando anterior en el equipo del recopilador.
En el equipo del recopilador, escriba lo siguiente en un símbolo del sistema elevado:
wecutil qc
Agregue la cuenta de equipo del equipo recopilador al grupo local Administradores de cada uno de los equipos de origen.
Nota De manera predeterminada, el complemento MMC Usuarios y grupos locales no permite agregar cuentas de equipo. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en el botón Tipos de objetos y active la casilla Equipos. A continuación, podrá agregar cuentas de equipo.
Los equipos ya están configurados para reenviar y recopilar eventos. Siga los pasos de Crear una nueva suscripción para especificar los eventos que desea que se reenvíen al recopilador.
Consideraciones adicionales
-
En un entorno de grupo de trabajo, puede seguir el mismo procedimiento básico descrito anteriormente para configurar equipos para reenviar y recopilar eventos. Sin embargo, hay algunos pasos y consideraciones adicionales para los grupos de trabajo:
-
Sólo puede usar suscripciones de modo normal (extracción).
-
Debe agregar una excepción de Firewall de Windows para la Administración remota de registro de eventos en cada equipo de origen.
-
Debe agregar una cuenta con privilegios de administración al grupo Lectores del registro de eventos en cada equipo de origen. Debe especificar esta cuenta en el cuadro de diálogo Configurar opciones de suscripción avanzadas al crear una suscripción en el equipo del recopilador.
-
Escriba
winrm set winrm/config/client @{TrustedHosts="<sources>"}
en el símbolo del sistema, en el equipo del recopilador, para permitir que todos los equipos de origen usen la autenticación NTLM al comunicarse con WinRM en el equipo del recopilador. Ejecute este ocmando una sola vez. Donde aparezca<sources>
en el comando, sustitúyalo por una lista de los nombres de todos los equipos de origen participantes del grupo de trabajo. Separe los nombres con comas. Además, puede usar caracteres comodín para que coincidan con los nombres de todos los equipos de origen. Por ejemplo, si desea configurar un conjunto de equipos de origen, cada uno de ellos con un nombre que comience por "msft", podría escribir este comandowinrm set winrm/config/client @{TrustedHosts="msft*"}
en el equipo del recopilador. Para obtener más información acerca de este comando, escribawinrm help config.
-
Sólo puede usar suscripciones de modo normal (extracción).
-
Si configura una suscripción para usar el protocolo HTTPS mediante la opción HTTPS de Configuración avanzada de suscripción, también deberá establecer las excepciones correspondientes del Firewall de Windows para el puerto 443. Para una suscripción que usa la optimización de entrega Normal (modo de extracción), sólo debe establecer la excepción en los equipos de origen. Para una suscripción que usa las optimizaciones de entrega Minimizar el ancho de banda o Minimizar latencia (modo de inserción), deberá establecer la excepción tanto en el equipo de origen como en el equipo del recopilador.
-
Si tiene intención de especificar una cuenta de usuario mediante la opción Usuario específico de Configuración avanzada de suscripción al crear la suscripción, debe asegurarse de que la cuenta sea miembro del grupo Administradores local en cada uno de los equipos de origen del paso 4 en lugar de agregar la cuenta del equipo del recopilador. También puede usar la utilidad de línea de comandos Registro de eventos de Windows para garantizar el acceso de una cuenta a los registros individuales. Para obtener más información acerca de esta utilidad de línea de comandos, escriba wevtutil sl -? en el símbolo del sistema.