Настройка централизованной си c темы сбора событий Windows Eventing Collector

Microsoft TechDayshttp://www.techdays.ru

Настройка централизованной сиcтемы сбора событий Windows Eventing CollectorИван Квасников

[email protected]://kvazar.wordpress.com/

mailto:[email protected]

http://kvazar.wordpress.com/


ВозможностиПозволяет централизовано хранить и обрабатывать журналы событий

Позволяет настроить оповещение по электронной почте или отображение локального сообщения

Позволяет настроить запуск программы при наступлении события


Схема работы


ТребованияОперационные системы – сборщики событий

Windows Server 2008Windows VistaWindows Server 2003 R2

Операционные системы – пересылка событийWindows Server 2008Windows VistaWindows Server 2003 SP2Windows XP SP2

Для пересылки событий с ОС Windows XP и Windows Server 2003 требуется установка компонента WS-Management 1.1Загрузить его можно по адресу: http://www.microsoft.com/downloads/details.aspx?FamilyID=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en


ТребованияДоступ к компьютеру сборщику по протоколу HTTP

(HTTPS в случае сбора событий с компьютера, не являющимся членом домена)

Запущенная служба Windows Firewall (Запущена по умолчанию)

Запущенная служба Windows Remote Management (В Windows Server 2008 запущена по умолчанию)

Выделенная учетная запись пользователя для сбора событий


НастройкаНастройка с помощью групповых политик

Создание и конфигурирование групповой политикиСоздание подписки на событияНастройка действия после наступления события (отправка письма по электронной почте, запуск программы)

Ручная настройкаКонфигурирование пересылающего компьютераПредоставление прав выделенной учетной записиКонфигурирования собирающего компьютераСоздание подписки на событияНастройка действия после наступления события (отправка письма по электронной почте, запуск программы)


Настройка групповой политикиСоздать групповую политику, например GPO-EventForward

В свойствах GPO перейти: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Event Forwarding. В пункте Configure the server address, refresh interval , and issuer certificate authority of a Target Subscription Manager выбрать «Enable» и ввести FQDN имя компьютера-сборщика событийПерейти в раздел: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Windows Remote management >> WinRM Service, выбрать пункт Allow automatic configuration of listeners, в полях Ipv4 и Ipv6 поставить знак «*»Назначить политику подразделению (OU), содержащему предоставляющий и собирающий события компьютерыДобавить выделенную учетную запись в группу «Event Log Readers» (Читатели журнала событий) на пересылающем компьютере или использовать Restricted Group в составе групповой политики


Настройка групповой политики

Иван Квасников

Демонстрация


Ручная настройкаЗапуск на пересылающем компьютере команды winrm quickconfigДобавление выделенной учетной записи в группу «Event Log Readers» (Читатели журнала событий) на пересылающем компьютереЗапуск на собирающем события компьютере команды wecutil qcПроверка соединения


Ручная настройка Event Collector




Создание подписки на событияСоздается в оснастке «Просмотр событий»

узла «Диагностика» консоли Диспетчера сервераТипы подписки:

Инициация сборщикомИнициация исходным компьютером

Пересылка по протоколу HTTPS команда winrm quickconfig –transport:https

Дополнительные параметры подписки:Minimize Bandwidth (уменьшение пропускной способности)Minimize Latency (уменьшенная задержка)

команда wecutil ss


Создание подписки на события




Настройка действий при наступлении события

Оповещение о наступлении события в сообщении электронной почты

Оповещение в виде локального сообщения

Запуск программы при наступлении события


Настройка действий при наступлении события




РесурсыМой блог –http://kvazar.wordpress.com/

MSDN –http://msdn.microsoft.com/en-us/library/bb427443(VS.85).aspx

Windows Server Customer Engineering TechNet Blog –http://blogs.technet.com/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

http://kvazar.wordpress.com/

http://msdn.microsoft.com/en-us/library/bb427443(VS.85).aspx

http://msdn.microsoft.com/en-us/library/bb427443(VS.85).aspx

http://blogs.technet.com/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

http://blogs.technet.com/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

Documents

Настройка централизованной си c темы сбора событий Windows Eventing Collector