4.3 事件收集

Windows Server 2008支持收集其他計算機的事件日志功能，從而做到集中分析和監控計算機的狀態。在收集的過程中，確切地指定將收集哪些事件以及將其存儲在本地的哪個日志中，激活訂閱并收集事件后，就可以像對任何存儲在本地的事件一樣查看和操作這些轉發的事件。

4.3.1 部署訂閱

使用事件收集功能需要同時配置源計算機（Windows Server 2008和Windows Vista）和收集計算機（Windows Server 2008和Windows Vista），此功能依賴于Windows遠程管理（WinRM）服務和Windows事件收集器（Wecsvc）服務，這兩項服務必須在參與轉發和收集過程的計算機上運行，目前只有運行Windows Server 2008和Windows Vista操作系統的計算機支持此功能。

1. 配置源計算機

源計算機為產生日志的計算機，包括服務器、客戶端計算機。Windows Server 2008的服務器和Windows Vista客戶端計算機啟用事件收集功能方法相同，本例以Windows Vista為例，說明如何啟用遠程管理以及事件收集功能。

（1）啟用遠程管理功能

第1步，選擇“開始”→“運行”命令，顯示“運行”對話框，在文本框中，鍵入“cmd”命令，單擊“確定”按鈕，顯示如圖4-19所示的命令行窗口。

第2步，在命令行提示符下，鍵入如下命令：

      Winrm Quickconfig

按Enter鍵，命令成功執行，顯示如圖4-20所示的窗口，提示管理員是否要啟用遠程管理工具。

第3步，鍵入“Y”，啟動遠程管理服務，如圖4-21所示。

（2）將Domain Admins組中的成員加入到本地管理員組

收集客戶端計算機的服務器采集客戶端計算機事件日志時，必須具備對客戶端計算機具備至少是讀取的權限，建議將Domain Admins組中的成員加入到客戶端計算機的本地管理員組中。

第1步，右擊“計算機”，在彈出的快捷菜單中選擇“管理”命令，顯示如圖4-22所示的“計算機管理”窗口。

第2步，選擇“計算機管理”→“系統工具”→“本地用戶和組”→“組”選項，顯示如圖4-23所示的“計算機管理”窗口。

第3步，在右側窗口中，右擊“Administrators”組，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖4-24所示的“Administrators屬性”對話框。

① 單擊“添加”按鈕，顯示如圖4-25所示的“選擇用戶、計算機或組”對話框。

② 單擊“高級”按鈕，顯示如圖4-26所示的“選擇用戶、計算機或組”高級對話框。

③ 單擊“立即查找”按鈕，在“搜索結果”列表中，顯示當前域中所有可用的用戶、計算機上或組，如圖4-27所示。

④ 選擇目標用戶，單擊“確定”按鈕，關閉“選擇用戶、計算機或組”高級對話框，返回到“選擇用戶、計算機或組”對話框，如圖4-28所示。

⑤ 單擊“確定”按鈕，關閉“選擇用戶、計算機或組”對話框，返回到“Administrators屬性”對話框，將選擇的目標用戶添加到“成員列表”中，如圖4-29所示。

第4步，單擊“確定”按鈕，完成本地管理員組成員的添加。

2. 配置收集服務器

收集服務器建議使用獨立服務器，每臺需要收集事件的計算機或者服務器將產生大量的事件日志，如果是應用程序服務器產生的事件會更多。

（1）更改服務模式

在事件收集服務器上，配置制事件訂閱服務。

第1步，選擇“開始”→“運行”命令，顯示“運行”對話框，在文本框中，鍵入“cmd”，單擊“確定”按鈕，顯示如圖4-30所示的命令行窗口。

第2步，在命令行提示符下，鍵入如下命令：

      wecutil qc

按Enter鍵，命令成功執行，顯示如圖4-31所示的窗口，提示更改服務啟動模式。

第3步，鍵入“Y”，成功配置事件收集服務器，如圖4-32所示。

（2）NTLM身份驗證

第1步，在命令行窗口中，在命令行提示符下，鍵入如下命令：

      winrm set winrm/config/client @{TrustedHosts="dc.book.com,vista.book.com"}

按Enter鍵，命令成功執行，顯示如圖4-33所示的窗口，使所有源計算機在與收集服務器上的WinRM進行通信時使用NTLM身份驗證，運行一次命令即可。

4.3.2 創建訂閱

客戶端計算機和數據服務器配置完成后，在收集服務器上創建訂閱任務，任務部署完成在后臺自動運行，監控數據源計算機上的“一舉一動”。

第1步，選擇“開始”→“管理工具”→“服務器管理器”選項，顯示如圖4-34所示的“服務器管理”窗口。

第2步，選擇“服務器管理器”→“診斷”→“事件查看器”→“訂閱”選項，顯示如圖4-35所示的“服務器管理器”窗口。

第3步，右擊“訂閱”，在彈出的快捷菜單中選擇“創建訂閱”命令，顯示如圖4-36所示的“訂閱屬性”對話框。

（1）在“訂閱名稱”文本框中，鍵入訂閱任務的名稱。

（2）在“目標日志”下拉列表框中，選擇收集的日志存儲目標，例如選擇“系統”日志。

（3）在“訂閱類型和源計算機”分組區域中，選擇“收集器已啟動”選項。單擊“選擇計算機”按鈕，顯示如圖4-37所示的“計算機”對話框。

① 單擊“添加域計算機”按鈕，顯示如圖4-38所示的“選擇計算機”對話框。

② 單擊“高級”按鈕，顯示如圖4-39所示的“計算機”高級對話框。

③ 單擊“立即查找”按鈕，在“搜索結果”列表中，顯示當前域中所有可用的計算機名稱，如圖4-40所示。

④ 選擇目標計算機，單擊“確定”按鈕，關閉“計算機”高級對話框，返回到“計算機”對話框，如圖4-41所示。

⑤ 單擊“確定”按鈕，關閉“選擇計算機”對話框，返回到“計算機”對話框，如圖4-42所示。

⑥ 使用同樣的方法，可以將需要收集日志的計算機添加進來，添加完成的計算機如圖4-43所示。

⑦ 單擊“確定”按鈕，關閉“計算機”對話框，返回到“訂閱屬性”對話框。

（4）在“訂閱屬性”對話框中，單擊“選擇事件”按鈕，顯示如圖4-44所示的“查詢篩選器”對話框。

① 在“記錄事件”下拉列表框中，選擇事件的記錄時間，默認為“任何時間”。

② 在“事件級別”區域，選擇收集的事件類型。

③ 選擇“按日志”選項，在“事件日志”下拉列表中，選擇事件日志類型，如圖4-45所示。

④ 其他選項，根據實際需要選擇即可。

⑤ 單擊“確定”按鈕，顯示如圖4-46所示的“事件查看器”對話框，提示管理員選擇事件的種類超過10個，將影響系統性能。

⑥ 單擊“是”按鈕，返回到“訂閱屬性”對話框。

（5）單擊“高級”按鈕，顯示如圖4-47所示的“高級訂閱設置”對話框。

① 設置收集目標計算機使用的賬戶，選擇的賬戶至少具備“讀取”目標計算機日志的權限。選擇“特定用戶”選項，顯示如圖4-48所示的“高級訂閱設置”對話框。

② 單擊“用戶和密碼”按鈕，顯示如圖4-49所示的“訂閱源的憑據”對話框，鍵入用戶名和密碼。

③ 單擊“確定”按鈕，關閉“訂閱源的憑據”對話框，返回到“高級訂閱設置”對話框。

④ 在“事件傳遞優化”分組區域中，選擇事件傳遞方式。

● 正常：此選項確保可靠地傳遞事件，但不嘗試保留帶寬。除非需要嚴格控制帶寬使用或需要盡可能快地傳遞所轉發的事件，否則適于選擇此選項。此選項使用拉傳遞模式，每次批量處理5個項目并將批次超時設置為15分鐘。

● 最小化帶寬：此選項確保嚴格控制事件傳遞對網絡帶寬的使用。如果要限制為傳遞事件而進行網絡連接的頻率，則適于選擇此選項。此選項使用推傳遞模式，并將批次超時設置為6小時。此外，還使用6小時的檢測信號間隔。

● 最小化滯后時間：此選項確保以最小的延遲傳遞事件。如果正在收集警報或關鍵事件，則適于選擇此選項。此選項使用推傳遞模式，并將批次超時設置為30 s。

⑤ “協議”和“端口”使用默認值即可

⑥ 單擊“確定”按鈕，關閉“高級訂閱設置”對話框，返回到“訂閱屬性”對話框，如圖4-50所示。

第4步，單擊“確定”按鈕，完成訂閱的設置，如圖4-51所示。

4.3.3 閱覽事件

事件完成后，查看其他計算機的事件和查看本地計算機的事件方法相同，如果事件過多，管理員可以使用“篩選”功能，查找需要的日志。

第1步，登錄事件收集服務器，打開“服務器管理器”窗口，選擇“服務器管理器”→“診斷”→“事件查看器”→“Windows日志”選項，顯示如圖4-52所示的“服務器管理器”窗口。

第2步，選擇“系統”選項，顯示事件收集服務器已經收集的所有事件，如圖4-53所示。

第3步，右擊“系統”，在彈出的快捷菜單中選擇“篩選當前日志”命令，顯示如圖4-54所示的“篩選當前日志”對話框。

第4步，在“計算機”文本框中，鍵入要篩選的目標計算機名稱，例如Vista.book.com，如圖4-55所示。

第5步，單擊“確定”按鈕，從事件收集服務器中篩選出目標計算機的所有日志，如圖4-56所示。