在windows 中可以利用事件檢視器來找尋蛛絲馬跡來除錯問題,如果想要在管理員工作的電腦中直接就可以看到一群電腦的事件或是會比較方便。在此紀錄一下如何在網域中來達成。
環境:
Windows 2012 R2 網域環境
假設有一台主機Windows Server 2016 ==> HV03 (事件轉寄主機)
一台windows 10 PC (收集主機)
目標:
windows 10 收集HV03事件檢視器
事件轉寄主機設定:
執行 winrm quickconfig
在HV03 的本機 Event Log Readers 群組加入收集電腦的點腦帳戶
收集事件電腦設定
執行 : wecutil qc
開啟事件檢視器=>找到 [訂閱] => 滑鼠右鍵 選 [建立訂閱]
輸入
訂閱名稱: 自訂 此範例要收集HV03
訂閱類型與來源電腦 :
選擇: [收集器起始]表示由收集電腦向轉送電腦擷取資料
點[選取電腦] => 輸入轉送事件的電腦 HV03
接著設定[要收集的事件]
可以依照自己需求來設定
依照需求可以點選[進階]來修改傳遞效率
在微軟文件查詢相關說明如下
| 標準 | 此選項可確保事件傳遞的可靠性,且不會嘗試保留頻寬。除非您需要更加嚴格控制頻寬用量或需要儘快轉送事件,否則這是適當的選擇。這個選項會使用提取傳遞模式,以一次 5 個項目的批次來傳遞,並將批次逾時設定為 15 分鐘。 |
| 最低頻寬 | 此選項可確保事件傳遞所使用的網路頻寬會受到嚴格控制。如果您要限制用以傳遞事件之網路連線的頻率,這是適當的選擇。這個選項會使用發送傳遞模式,並將批次逾時設定為 6 小時。此外,它還會使用 6 小時的活動訊號間隔。 |
| 減少延遲 | 此選項可確保事件傳遞時的延遲最少。如果您是在收集警示或緊急事件,這是適當的選擇。這個選項會使用發送傳遞模式,並將批次逾時設定為 30 秒。 |
設定完畢
因為選用標準傳遞所以大約15分鐘就可以在收集電腦看到事件
參考資料:
https://technet.microsoft.com/zh-tw/library/cc749167(v=ws.11).aspx
https://technet.microsoft.com/zh-tw/library/cc748890(v=ws.11).aspx
本篇瀏覽人數: 6816
榮哥您好:
請教您,我依照您這篇教學設定,3種紀錄 應用程式、安全性、系統都做轉寄的設定,但在訂閱端的事件紀錄都只有看到應用程式與系統兩部分的紀錄,安全性的紀錄都沒有轉寄過來請問需要做甚麼特別的設定嗎?
您好
沒有特別需要設定的,你只設定安全性部分呢?
榮哥你好,按照你的文章實作碰到以下問題
經過15鐘後,無法收集到來源端的日治,請問是甚麼問題呢?
您好
沒有遇過~~ 您可能要自行找出原因