Collecting Event logs–The Builtin way. Part2.

By Andrei Ungureanu - Last updated: Tuesday, September 6, 2011 - Save & Share - One Comment

Prima parte o gasiti aici.

In postul de astazi o sa vedem cum putem seta Event Forwarding si WinRM via Group Policies.

Inainte de toate este nevoie sa setam collectorul si este de preferat ca acesta sa nu fie un domain controller (din experienta am observat numai probleme de configurare cu collectorul pus pe domain controller).

Incepem setand winrm-ul si pentru mai multa siguranta si wecutil qc pentru a seta starea serviciului collector.

winrm qc

wecutil qc

Acum diferenta intre ce am facut in primul articol este ca acum vom seta Source computer initiated in setarea subscriptiei.

image

image

image

image

Acum e nevoie sa rulati urmatoarea comanda pentru a vedea portul pe care asculta collectorul:

winrm enumerate winrm/config/listener

image

Notati portul, pentru ca va fi nevoie de el putin mai tarziu.

In exemplul meu o sa fac un GPO nou pe care o sa-l asignez containerului Domain Controllers si in felul acesta voi reusi sa consolidez/colectez evenimentele de pe domain controllere fara a fi nevoie sa configurez de mana ceva pe fiecare DC.

image

image

image

Nota: GPO-ul odata facut, poate fi link-at si la alte organizational unit-uri din domeniu.

In GPO e nevoie sa ne uitam in Computer configuration/Policies/Administrative templates/Windows components – Event Forwarding si Windows Remote Management (WinRM).

Prima data vom seta auto config-ul pentru WinRM. Atentie ca in scenariul meu consider ca infrastructura mea e trusted si permit accesul de la orice IP.

image

image

Nota: asta este cumva echivalentul lui winrm quickconfig.

Mai departe setam adresa collectorului.

image

Portul de mai jos este portul pe care l-am notat mai devreme.

image

Si daca totul a fost facut corect si nu v-a scapat nici un pas (sau nu am uitat eu sa va zic ceva) colectarea evenimentelor ar trebui sa mearga. Iar daca nu merge din prima, aveti putina rabdare sau rulati gpupdate /force si restartati serviciul winrm.

Rezultatul il puteti vedea mai jos:

image

Posted in Windows Server • Tags: , , , Top Of Page

One Response to “Collecting Event logs–The Builtin way. Part2.”

Pingback from Collecting Event logs–The builtin way. Part 1. » RO Windows Administrators Weblog
Time September 7, 2011 at 9:07 am

[…] Collecting Event logs–The Builtin way. Part2. […]

Write a comment