若要在计算机上接收转发的事件,必须设置一个或多个事件订阅。设置订阅前,必须同时配置将接收转发的事件的计算机以及将转发事件的计算机。若要了解如何配置计算机,请参阅配置计算机以转发和收集事件

配置了计算机后,就可以创建订阅以指定要收集哪些事件。

创建新订阅的步骤

  1. 在收集器计算机上,以管理员身份运行事件查看器。

  2. 在控制台树中单击“订阅”

    注意

    如果未启动 Windows 事件收集器服务,则将提示确认是否要将其启动。必须启动此服务才能创建订阅和收集事件。必须是管理员组的成员才能启动此服务。

  3. “操作”菜单上,单击“创建订阅”

  4. “订阅名称”框中,键入订阅的名称。

  5. “描述”框中,输入可选描述。

  6. “目标日志”框中,选择要存储所收集事件的日志文件。默认情况下,收集的事件存储在 ForwardedEvents 日志中。

  7. 单击“添加”,然后选择要从中收集事件的计算机。

    注意

    添加计算机后,通过选择该计算机并单击“测试”,可以测试它与本地计算机之间的连接性。

  8. 单击“选择事件”以显示“查询筛选器”对话框。使用“查询筛选器”对话框中的控件以指定要收集的事件必须满足的标准。

  9. “订阅属性”对话框上单击“确定”。订阅将添加到“订阅”窗格中,因此,如果操作成功,订阅的状态将为“活动”。

在满足订阅标准的转发器计算机上发生的事件将复制到步骤 6 中指定的收集器计算机日志中。

其他注意事项

  • 当事件查看器连接至远程计算机时,无法使用事件查看器来创建订阅。

  • 通过选择“从现有自定义视图复制”可以使用以前定义的自定义视图中的筛选器。此外,还可以将 XPATH 查询粘贴到“查询筛选器”对话框的 XML 选项卡上的文本框中。

  • 如果新创建的订阅未激活,则可以打开“订阅属性”对话框并选择单独的源计算机,以查看其中每台计算机的状态。

其他资源

目录