4.3 事件收集

Windows Server 2008支持收集其他計(jì)算機(jī)的事件日志功能，從而做到集中分析和監(jiān)控計(jì)算機(jī)的狀態(tài)。在收集的過程中，確切地指定將收集哪些事件以及將其存儲(chǔ)在本地的哪個(gè)日志中，激活訂閱并收集事件后，就可以像對(duì)任何存儲(chǔ)在本地的事件一樣查看和操作這些轉(zhuǎn)發(fā)的事件。

4.3.1 部署訂閱

使用事件收集功能需要同時(shí)配置源計(jì)算機(jī)（Windows Server 2008和Windows Vista）和收集計(jì)算機(jī)（Windows Server 2008和Windows Vista），此功能依賴于Windows遠(yuǎn)程管理（WinRM）服務(wù)和Windows事件收集器（Wecsvc）服務(wù)，這兩項(xiàng)服務(wù)必須在參與轉(zhuǎn)發(fā)和收集過程的計(jì)算機(jī)上運(yùn)行，目前只有運(yùn)行Windows Server 2008和Windows Vista操作系統(tǒng)的計(jì)算機(jī)支持此功能。

1. 配置源計(jì)算機(jī)

源計(jì)算機(jī)為產(chǎn)生日志的計(jì)算機(jī)，包括服務(wù)器、客戶端計(jì)算機(jī)。Windows Server 2008的服務(wù)器和Windows Vista客戶端計(jì)算機(jī)啟用事件收集功能方法相同，本例以Windows Vista為例，說明如何啟用遠(yuǎn)程管理以及事件收集功能。

（1）啟用遠(yuǎn)程管理功能

第1步，選擇“開始”→“運(yùn)行”命令，顯示“運(yùn)行”對(duì)話框，在文本框中，鍵入“cmd”命令，單擊“確定”按鈕，顯示如圖4-19所示的命令行窗口。

第2步，在命令行提示符下，鍵入如下命令：

      Winrm Quickconfig

按Enter鍵，命令成功執(zhí)行，顯示如圖4-20所示的窗口，提示管理員是否要啟用遠(yuǎn)程管理工具。

第3步，鍵入“Y”，啟動(dòng)遠(yuǎn)程管理服務(wù)，如圖4-21所示。

（2）將Domain Admins組中的成員加入到本地管理員組

收集客戶端計(jì)算機(jī)的服務(wù)器采集客戶端計(jì)算機(jī)事件日志時(shí)，必須具備對(duì)客戶端計(jì)算機(jī)具備至少是讀取的權(quán)限，建議將Domain Admins組中的成員加入到客戶端計(jì)算機(jī)的本地管理員組中。

第1步，右擊“計(jì)算機(jī)”，在彈出的快捷菜單中選擇“管理”命令，顯示如圖4-22所示的“計(jì)算機(jī)管理”窗口。

第2步，選擇“計(jì)算機(jī)管理”→“系統(tǒng)工具”→“本地用戶和組”→“組”選項(xiàng)，顯示如圖4-23所示的“計(jì)算機(jī)管理”窗口。

第3步，在右側(cè)窗口中，右擊“Administrators”組，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖4-24所示的“Administrators屬性”對(duì)話框。

① 單擊“添加”按鈕，顯示如圖4-25所示的“選擇用戶、計(jì)算機(jī)或組”對(duì)話框。

② 單擊“高級(jí)”按鈕，顯示如圖4-26所示的“選擇用戶、計(jì)算機(jī)或組”高級(jí)對(duì)話框。

③ 單擊“立即查找”按鈕，在“搜索結(jié)果”列表中，顯示當(dāng)前域中所有可用的用戶、計(jì)算機(jī)上或組，如圖4-27所示。

④ 選擇目標(biāo)用戶，單擊“確定”按鈕，關(guān)閉“選擇用戶、計(jì)算機(jī)或組”高級(jí)對(duì)話框，返回到“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，如圖4-28所示。

⑤ 單擊“確定”按鈕，關(guān)閉“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，返回到“Administrators屬性”對(duì)話框，將選擇的目標(biāo)用戶添加到“成員列表”中，如圖4-29所示。

第4步，單擊“確定”按鈕，完成本地管理員組成員的添加。

2. 配置收集服務(wù)器

收集服務(wù)器建議使用獨(dú)立服務(wù)器，每臺(tái)需要收集事件的計(jì)算機(jī)或者服務(wù)器將產(chǎn)生大量的事件日志，如果是應(yīng)用程序服務(wù)器產(chǎn)生的事件會(huì)更多。

（1）更改服務(wù)模式

在事件收集服務(wù)器上，配置制事件訂閱服務(wù)。

第1步，選擇“開始”→“運(yùn)行”命令，顯示“運(yùn)行”對(duì)話框，在文本框中，鍵入“cmd”，單擊“確定”按鈕，顯示如圖4-30所示的命令行窗口。

第2步，在命令行提示符下，鍵入如下命令：

      wecutil qc

按Enter鍵，命令成功執(zhí)行，顯示如圖4-31所示的窗口，提示更改服務(wù)啟動(dòng)模式。

第3步，鍵入“Y”，成功配置事件收集服務(wù)器，如圖4-32所示。

（2）NTLM身份驗(yàn)證

第1步，在命令行窗口中，在命令行提示符下，鍵入如下命令：

      winrm set winrm/config/client @{TrustedHosts="dc.book.com,vista.book.com"}

按Enter鍵，命令成功執(zhí)行，顯示如圖4-33所示的窗口，使所有源計(jì)算機(jī)在與收集服務(wù)器上的WinRM進(jìn)行通信時(shí)使用NTLM身份驗(yàn)證，運(yùn)行一次命令即可。

4.3.2 創(chuàng)建訂閱

客戶端計(jì)算機(jī)和數(shù)據(jù)服務(wù)器配置完成后，在收集服務(wù)器上創(chuàng)建訂閱任務(wù)，任務(wù)部署完成在后臺(tái)自動(dòng)運(yùn)行，監(jiān)控?cái)?shù)據(jù)源計(jì)算機(jī)上的“一舉一動(dòng)”。

第1步，選擇“開始”→“管理工具”→“服務(wù)器管理器”選項(xiàng)，顯示如圖4-34所示的“服務(wù)器管理”窗口。

第2步，選擇“服務(wù)器管理器”→“診斷”→“事件查看器”→“訂閱”選項(xiàng)，顯示如圖4-35所示的“服務(wù)器管理器”窗口。

第3步，右擊“訂閱”，在彈出的快捷菜單中選擇“創(chuàng)建訂閱”命令，顯示如圖4-36所示的“訂閱屬性”對(duì)話框。

（1）在“訂閱名稱”文本框中，鍵入訂閱任務(wù)的名稱。

（2）在“目標(biāo)日志”下拉列表框中，選擇收集的日志存儲(chǔ)目標(biāo)，例如選擇“系統(tǒng)”日志。

（3）在“訂閱類型和源計(jì)算機(jī)”分組區(qū)域中，選擇“收集器已啟動(dòng)”選項(xiàng)。單擊“選擇計(jì)算機(jī)”按鈕，顯示如圖4-37所示的“計(jì)算機(jī)”對(duì)話框。

① 單擊“添加域計(jì)算機(jī)”按鈕，顯示如圖4-38所示的“選擇計(jì)算機(jī)”對(duì)話框。

② 單擊“高級(jí)”按鈕，顯示如圖4-39所示的“計(jì)算機(jī)”高級(jí)對(duì)話框。

③ 單擊“立即查找”按鈕，在“搜索結(jié)果”列表中，顯示當(dāng)前域中所有可用的計(jì)算機(jī)名稱，如圖4-40所示。

④ 選擇目標(biāo)計(jì)算機(jī)，單擊“確定”按鈕，關(guān)閉“計(jì)算機(jī)”高級(jí)對(duì)話框，返回到“計(jì)算機(jī)”對(duì)話框，如圖4-41所示。

⑤ 單擊“確定”按鈕，關(guān)閉“選擇計(jì)算機(jī)”對(duì)話框，返回到“計(jì)算機(jī)”對(duì)話框，如圖4-42所示。

⑥ 使用同樣的方法，可以將需要收集日志的計(jì)算機(jī)添加進(jìn)來，添加完成的計(jì)算機(jī)如圖4-43所示。

⑦ 單擊“確定”按鈕，關(guān)閉“計(jì)算機(jī)”對(duì)話框，返回到“訂閱屬性”對(duì)話框。

（4）在“訂閱屬性”對(duì)話框中，單擊“選擇事件”按鈕，顯示如圖4-44所示的“查詢篩選器”對(duì)話框。

① 在“記錄事件”下拉列表框中，選擇事件的記錄時(shí)間，默認(rèn)為“任何時(shí)間”。

② 在“事件級(jí)別”區(qū)域，選擇收集的事件類型。

③ 選擇“按日志”選項(xiàng)，在“事件日志”下拉列表中，選擇事件日志類型，如圖4-45所示。

④ 其他選項(xiàng)，根據(jù)實(shí)際需要選擇即可。

⑤ 單擊“確定”按鈕，顯示如圖4-46所示的“事件查看器”對(duì)話框，提示管理員選擇事件的種類超過10個(gè)，將影響系統(tǒng)性能。

⑥ 單擊“是”按鈕，返回到“訂閱屬性”對(duì)話框。

（5）單擊“高級(jí)”按鈕，顯示如圖4-47所示的“高級(jí)訂閱設(shè)置”對(duì)話框。

① 設(shè)置收集目標(biāo)計(jì)算機(jī)使用的賬戶，選擇的賬戶至少具備“讀取”目標(biāo)計(jì)算機(jī)日志的權(quán)限。選擇“特定用戶”選項(xiàng)，顯示如圖4-48所示的“高級(jí)訂閱設(shè)置”對(duì)話框。

② 單擊“用戶和密碼”按鈕，顯示如圖4-49所示的“訂閱源的憑據(jù)”對(duì)話框，鍵入用戶名和密碼。

③ 單擊“確定”按鈕，關(guān)閉“訂閱源的憑據(jù)”對(duì)話框，返回到“高級(jí)訂閱設(shè)置”對(duì)話框。

④ 在“事件傳遞優(yōu)化”分組區(qū)域中，選擇事件傳遞方式。

● 正常：此選項(xiàng)確保可靠地傳遞事件，但不嘗試保留帶寬。除非需要嚴(yán)格控制帶寬使用或需要盡可能快地傳遞所轉(zhuǎn)發(fā)的事件，否則適于選擇此選項(xiàng)。此選項(xiàng)使用拉傳遞模式，每次批量處理5個(gè)項(xiàng)目并將批次超時(shí)設(shè)置為15分鐘。

● 最小化帶寬：此選項(xiàng)確保嚴(yán)格控制事件傳遞對(duì)網(wǎng)絡(luò)帶寬的使用。如果要限制為傳遞事件而進(jìn)行網(wǎng)絡(luò)連接的頻率，則適于選擇此選項(xiàng)。此選項(xiàng)使用推傳遞模式，并將批次超時(shí)設(shè)置為6小時(shí)。此外，還使用6小時(shí)的檢測(cè)信號(hào)間隔。

● 最小化滯后時(shí)間：此選項(xiàng)確保以最小的延遲傳遞事件。如果正在收集警報(bào)或關(guān)鍵事件，則適于選擇此選項(xiàng)。此選項(xiàng)使用推傳遞模式，并將批次超時(shí)設(shè)置為30 s。

⑤ “協(xié)議”和“端口”使用默認(rèn)值即可

⑥ 單擊“確定”按鈕，關(guān)閉“高級(jí)訂閱設(shè)置”對(duì)話框，返回到“訂閱屬性”對(duì)話框，如圖4-50所示。

第4步，單擊“確定”按鈕，完成訂閱的設(shè)置，如圖4-51所示。

4.3.3 閱覽事件

事件完成后，查看其他計(jì)算機(jī)的事件和查看本地計(jì)算機(jī)的事件方法相同，如果事件過多，管理員可以使用“篩選”功能，查找需要的日志。

第1步，登錄事件收集服務(wù)器，打開“服務(wù)器管理器”窗口，選擇“服務(wù)器管理器”→“診斷”→“事件查看器”→“Windows日志”選項(xiàng)，顯示如圖4-52所示的“服務(wù)器管理器”窗口。

第2步，選擇“系統(tǒng)”選項(xiàng)，顯示事件收集服務(wù)器已經(jīng)收集的所有事件，如圖4-53所示。

第3步，右擊“系統(tǒng)”，在彈出的快捷菜單中選擇“篩選當(dāng)前日志”命令，顯示如圖4-54所示的“篩選當(dāng)前日志”對(duì)話框。

第4步，在“計(jì)算機(jī)”文本框中，鍵入要篩選的目標(biāo)計(jì)算機(jī)名稱，例如Vista.book.com，如圖4-55所示。

第5步，單擊“確定”按鈕，從事件收集服務(wù)器中篩選出目標(biāo)計(jì)算機(jī)的所有日志，如圖4-56所示。