Чтобы получать на компьютер пересылаемые события, необходимо создать одну или несколько подписок на события. Перед созданием подписки необходимо настроить как компьютер, который будет принимать пересылаемые события, так и компьютер или компьютеры, которые будут пересылать эти события. Инструкции по настройке компьютеров см. в разделе Настройка компьютеров для пересылки и сбора событий.
После настройки компьютеров создайте подписку и укажите типы событий, которые следует собирать.
Чтобы создать новую подписку |
На компьютере, который будет выполнять сбор событий, войдите в систему с правами администратора и откройте оснастку «Просмотр событий».
Щелкните папку Подписки в дереве консоли.
Примечание Если служба сбора событий Windows не запущена, будет выведено приглашение запустить ее. Запуск этой службы необходим для создания подписок и сбора событий. Для ее запуска необходимо быть членом группы «Администраторы».
В меню Действия выберите команду Создать подписку.
В поле поле "Название подписки" введите имя для подписки.
В поле поле "Описание" введите описание (необязательно).
В поле поле "Журнал на конечном компьютере" укажите файл журнала для хранения собранных событий. По умолчанию собранные события сохраняются в журнале «Пересланные события».
Нажмите кнопку Добавить и выберите компьютеры, с которых будет осуществляться сбор событий.
Примечание После добавления компьютера можно проверить связь между ним и локальным компьютером; для этого выделите нужный компьютер и нажмите кнопку Проверка.
Нажмите кнопку Выберите события, чтобы отобразить диалоговое окно Фильтр запроса. С помощью элементов управления в диалоговом окне Фильтр запроса задайте условия, которым должны соответствовать собираемые события.
Нажмите кнопку ОК в диалоговом окне Свойства подписки. Подписка будет добавлена в область Подписки и, если операция была успешной, подписка будет иметь состояние «Активный».
События, произошедшие на пересылающем компьютере и удовлетворяющие условиям подписки, будут копироваться в журнал компьютера-сборщика, указанный на шаге 6.
Дополнительные сведения
-
Во время подключения оснастки «Просмотр событий» к удаленному компьютеру использовать ее для создания подписки невозможно.
-
Чтобы использовать фильтр из ранее определенного настраиваемого представления, выберите команду Копировать из существующего настраиваемого представления. Кроме того, можно вставить запрос XPATH в текстовое поле на вкладке «XML» диалогового окна Фильтр запроса.
-
Если вновь созданная подписка неактивна, откройте диалоговое окно Свойства подписки и проверьте состояние каждого компьютера, участвующего в подписке.