転送されたイベントをコンピューターで受信するには、1 つ以上のイベント サブスクリプションをセットアップする必要があります。サブスクリプションをセットアップする前に、転送されたイベントを受信するコンピューターと、イベントを転送する 1 台以上のコンピューターの両方を構成する必要があります。コンピューターを構成する方法については、「イベントを転送して収集するようコンピューターを構成する」を参照してください。

コンピューターの構成を終えたら、収集するイベントを指定するサブスクリプションを作成します。

新しいサブスクリプションを作成するには

  1. コレクター コンピューターで、管理者としてイベント ビューアーを実行します。

  2. コンソール ツリーで [サブスクリプション] をクリックします。

    Windows イベント コレクター サービスが開始されていない場合は、サービスを開始するかどうかを確認するメッセージが表示されます。サブスクリプションを作成してイベントを収集するには、このサービスが開始されている必要があります。このサービスを開始するには、Administrators グループのメンバーである必要があります。

  3. [操作] メニューの [サブスクリプションの作成] をクリックします。

  4. [サブスクリプション名] ボックスに、サブスクリプションの名前を入力します。

  5. [説明] ボックスに、説明 (省略可能) を入力します。

  6. [宛先ログ] ボックスで、収集したイベントが格納されるログ ファイルを選択します。既定では、収集したイベントは ForwardedEvents ログに格納されます。

  7. [追加] をクリックし、イベントを収集する対象のコンピューターを選択します。

    コンピューターを追加したら、そのコンピューターを選択して [テスト] をクリックすると、そのコンピューターとローカル コンピューターの間の接続をテストできます。

  8. [イベントの選択] をクリックして [クエリ フィルター] ダイアログ ボックスを表示します。[クエリ フィルター] ダイアログ ボックス内のコントロールを使用して、収集するイベントが満たす必要のある条件を指定します。

  9. [サブスクリプションのプロパティ] ダイアログ ボックスで [OK] をクリックします。そのサブスクリプションが [サブスクリプション] 領域に追加され、操作が成功した場合はサブスクリプションの状態が "アクティブ" になります。

フォワーダー コンピューターでサブスクリプションの条件を満たすイベントが発生すると、手順 6. で指定したコレクター コンピューターのログにコピーされます。

その他の考慮事項

  • イベント ビューアーがリモート コンピューターに接続している間は、イベント ビューアーを使用してサブスクリプションを作成することはできません。

  • [既存のカスタム ビューからコピー] を選択すると、以前に定義されたカスタム ビューのフィルターを使用できます。また、[クエリ フィルター] ダイアログ ボックスの [XML] タブにあるテキスト ボックスに XPATH クエリを貼り付けることもできます。

  • 新しく作成したサブスクリプションがアクティブにならない場合は、[サブスクリプションのプロパティ] ダイアログ ボックスを開き、個別のソース コンピューターを選択して各コンピューターの状態を参照できます。

その他の資料

目次