21 апреля SBS2008 / 2011, Server 2008
Чтобы настроить подписку, инициированную источником, которая требует минимального вмешательства и не думает каждый раз, когда создается новый сервер, выполните следующие простые шаги.
Исходные компьютеры
Если вы хотите настроить это как один раз, для тестирования сделайте следующее:
На исходном компьютере с помощью командной строки с повышенными правами введите следующее:
winrm qc -q
Или, если вы работаете в доменной среде и хотите установить и забыть:
- Откройте редактор групповой политики и найдите (или создайте новый) объект групповой политики, который будет содержать ваши настройки (лучше всего использовать этот объект уже для своих серверов, чтобы не создавать нагрузку для каждого компьютера, обрабатывающего миллион GPO!).
- В узле «Конфигурация компьютера» разверните узел «Административные шаблоны», затем разверните узел «Компоненты Windows» и выберите узел «Пересылка событий».
- Щелкните правой кнопкой мыши по настройке Диспетчера подписок и выберите Свойства. Включите настройку диспетчера подписок и нажмите кнопку Показать, чтобы добавить адрес сервера в настройку. Добавьте хотя бы один параметр, указывающий компьютер сборщика событий. Окно Свойства диспетчера подписок содержит вкладку «Объяснение», в которой описывается синтаксис параметра.
- Теперь немного просмотрите список и найдите узел удаленного управления Windows (WinRM), выберите узел службы WinRM и найдите параметр «Разрешить автоматическую настройку списков».
- Включите настройку, а затем введите IP-адрес, диапазон IP-адресов или введите * в каждое из полей IPv4 и IPv6. Просто используйте *, если вы не заботитесь о безопасности, или углубитесь в детали, если вы делаете вещи по книге, как и должно быть!
- Закройте редактор GP, а затем просто обновите вкладку настроек, чтобы убедиться, что все так, как вы хотите.
На этом этапе вы можете запустить gpupdate / force на своих исходных серверах или просто разрешить естественный поток и дождаться следующего автоматического обновления.
Коллекционер Компьютер
Выполните следующую команду из командной строки с повышенными привилегиями, чтобы настроить удаленное управление Windows:
winrm qc -q
Выполните следующую команду, чтобы настроить службу сбора событий:
wecutil qc / q
Теперь у вас есть 2 варианта создания подписки. Вы можете сделать это через средство просмотра событий или с помощью сценария.
С помощью средства просмотра событий:
- Откройте средство просмотра событий и выберите узел подписок. Щелкните правой кнопкой мыши и выберите «Создать подписку»
- Дайте подписке имя и выберите «Исходный компьютер инициирован»
- Выберите «Выбрать группы компьютеров» и введите его в доменные компьютеры, как показано в примере ниже.
4. Если вы используете сертификаты, выберите сертификат для своей системы и нажмите OK.
5. Нажмите «Выбрать события» и выберите типы событий и идентификаторы, которые вы хотите отслеживать, нажмите «ОК», а если вас устраивают ваши настройки, снова нажмите «ОК».
Через скрипт
Скопируйте следующий код в ваш любимый текстовый редактор и сохраните его в файле configurationfile.xml
SampleSISubscription
SourceInitiated
Пример подписки, инициированной источником
правда
http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
изготовленный на заказ
1
1000
2018-01-01T00: 00: 00.000Z
Event [System / EventID =»999 ‘]
