Collecting Event logs–The builtin way. Part 1.

Imi aduc aminte ca am discutat despre asa ceva pe vremea cand de abia se lansase Windows Vista (sau era inca beta) insa in continuare e un subiect nu foarte dezvoltat si zic ca merita un articol aici.

Tehnologia e builtin in Windows-urile actuale si e agentless. Nu putem compara cu System Center Operation Manager sau alte produse de colectare a logurilor insa e util atunci cand nu avem altceva.

Sistemul ce va colecta/consolida logurile il vom numi Collector. Collector-ul poate fi orice windows de la Vista in sus (diferentele intre OS client sau server tin de scalabilitate) iar client cam orice de la XP/2003 in sus – cu mentiunea ca pe XP si 2003 e nevoie sa mai instalam ceva.

Incepem de la collector si cream o subscriptie noua:

Pentru a ne putea conecta la sistemele remote e nevoie sa rulam WINRM QUICKCONFIG.

Iar in query filter putem selecta evenimentele colectate. Exista si posibilitatea de a edita filtrul manual si e posibil sa aveti nevoie pentru ca interfata default e putin limitata.

Aici o sa vreti sa setati un cont cu drept de a citi logurile de pe masina remote. Mai multe detalii in alt articol. Pentru test puteti folosi un cont de admin.

Optiunea Minimize Latency ii va spune sistemului remote sa trimita evenimentele imediat ce apar. Normal le trimite la 15 minute, iar Minimize Bandwidth la 6 ore.

Mai jos puteti observa cum arata logurile colectate de pe doua servere (DC1 & DC2). Folosind filtrul de mai sus am putut colecta evenimentele ce informau despre restart-ul serviciilor.

In articolele urmatoare o sa detaliez mai multe despre colectarea logurilor folosind Event Logs Subscription.

Partea a doua – http://www.winadmin.ro/2011/09/06/collecting-event-logsthe-builtin-way-part2/

 

2 Responses to “Collecting Event logs–The builtin way. Part 1.”