Avant de pouvoir créer un abonnement pour collecter des événements sur un ordinateur, vous devez configurer à la fois l’ordinateur collecteur et chaque ordinateur à partir duquel les événements seront collectés (source). Des informations mises à jour sur les abonnements aux événements peuvent être disponibles en ligne sur la page Web Abonnements aux événements (éventuellement en anglais).

Pour configurer les ordinateurs d’un domaine pour qu’ils transfèrent et collectent des événements
  1. Ouvrez une session sur tous les ordinateurs collecteurs et sources. Il est recommandé d’utiliser un compte de domaine avec des privilèges d’administration.

  2. Sur chaque ordinateur source, tapez la commande suivante à partir d’une invite de commande élevée :

    winrm quickconfig
    Remarques

    Si vous prévoyez de spécifier une optimisation de la remise des événements via Réduire la bande passante ou Réduire le temps de latence, vous devez également exécuter la commande ci-dessus sur l’ordinateur collecteur.

  3. Sur l’ordinateur collecteur, tapez la commande suivante à partir d’une invite de commandes élevée :

    wecutil qc
  4. Ajoutez le compte d’ordinateur de l’ordinateur collecteur au groupe local Administrateurs sur chaque ordinateur source.

    Remarques

    Par défaut, le composant local enfichable MMC Utilisateurs et groupes locaux ne vous autorise pas à ajouter de comptes d’ordinateur. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur le bouton Types d’objet et sélectionnez la case à cocher Ordinateurs. Vous serez alors en mesure d’ajouter des comptes d’ordinateur.

  5. Les ordinateurs sont maintenant configurés pour transférer et collecter des événements. Suivez les étapes décrites dans Créer un nouvel abonnement pour spécifier quels événements vous voulez transférer au collecteur.

Considérations supplémentaires

  • Dans un environnement de groupe de travail, vous pouvez suivre la même procédure de base décrite plus haut pour configurer des ordinateurs de façon à ce qu’ils transfèrent et collectent des événements. Il existe cependant quelques étapes et considérations supplémentaires pour les groupes de travail :

    • Vous pouvez utiliser seulement des abonnement en mode normal (par extraction).

    • Vous devez ajouter une exception de Pare-feu Windows pour la gestion à distance des journaux d’événements sur chaque ordinateur source.

    • Vous devez ajouter un compte avec des privilèges d’administration au groupe Lecteurs des journaux d’événements sur chaque ordinateur source. Vous devez spécifier ce compte dans la boîte de dialogue Configurer les paramètres avancés d'abonnement lors de la création d’un abonnement sur l’ordinateur collecteur.

    • Tapez winrm set winrm/config/client @{TrustedHosts="<sources>"} à une invite de commandes sur l’ordinateur collecteur pour permettre à tous les ordinateurs sources d’utiliser l’authentification NTLM lors de la communication avec WinRM sur l’ordinateur collecteur. Exécutez cette commande une seule fois. Là où <sources> apparaît dans la commande, substituez-y une liste des noms de tous les ordinateurs sources participant au groupe de travail. Séparez les noms par des virgules. Vous pouvez aussi utiliser des caractères génériques pour cibler les noms de tous les ordinateurs sources. Par exemple, si vous voulez configurer un ensemble d’ordinateurs sources, chacun ayant un nom commençant par « msft », vous pouvez taper la commande winrm set winrm/config/client @{TrustedHosts="msft*"} sur l’ordinateur collecteur. Pour en savoir plus sur cette commande, tapez winrm help config..

  • Si vous configurez un abonnement pour qu’il utilise le protocole HTTPS à l’aide de l’option HTTPS dans Paramètres avancés d’abonnement, vous devez également définir des exceptions correspondantes du Pare-feu Windows pour le port 443. Pour un abonnement qui utilise l’optimisation de la remise Normale (mode PULL), vous devez définir l’exception seulement sur les ordinateurs sources. Pour un abonnement qui utilise l’optimisation de la remise (mode PUSH) via Réduire la bande passante ou Réduire le temps de latence, vous devez définir l’exception à la fois sur les ordinateurs sources et sur les ordinateurs collecteurs.

  • Si vous souhaitez spécifier un compte d’utilisateur à l’aide de l’option Utilisateur spécifique dans les Paramètres avancés d’abonnement lors de la création de l’abonnement, vous devez vous assurer que ce compte est membre du groupe local Administrateurs sur chaque ordinateur source à l’étape 4 au lieu d’ajouter le compte d’ordinateur de l’ordinateur collecteur. Vous pouvez également vous servir de l’utilitaire de ligne de commande du Journal des événements de Windows pour accorder à un compte l’accès à des journaux individuels. Pour en savoir plus sur cet outil de ligne de commande, tapez wevtutil sl -? à une invite de commandes.