Che cos'è un registro di destinazione valido per l'inoltro di eventi di Windows

8

Sto riscontrando un problema durante il tentativo di utilizzare un diario di registro personalizzato per la memorizzazione di eventi inoltrati (tramite abbonamento) su un server Windows 2008 R2, il registro personalizzato viene descritto come non "un registro di destinazione valido".

Attualmente sto configurando un'architettura per centralizzare gli eventi di Windows utilizzando le funzionalità di inoltro e raccolta eventi integrate (tramite WS-management e wecutil).

Uno dei miei requisiti è quello di essere in grado di creare diversi abbonamenti sul computer di raccolta e di archiviare gli eventi inoltrati in diversi file di registro. Per questo, ho provato a creare un registro personalizzato (chiamato CustomLog). Questo registro viene visualizzato nel Visualizzatore eventi, nella categoria "Registri applicazioni e servizi".

Tuttavia, non sono in grado di reindirizzare gli eventi inoltrati a questo CustomLog. CustomLog non appare nell'elenco delle possibili destinazioni durante la creazione di un abbonamento nell'interfaccia utente del Visualizzatore eventi.

Per provare cosa potrebbe esserci di sbagliato, l'ho lasciato con ForwardedEvents predefinito come destinazione e ho provato a cambiarlo tramite Powershell. Ho eseguito il seguente comando, che dovrebbe impostare il registro di destinazione come CustomLog:

wecutil ss "Collect from both sources" /lf:CustomLog

Funzionava senza errori. Tuttavia, nessun evento viene registrato in CustomLog e quando torno alla GUI per creare / modificare gli abbonamenti e provo ad aprire l'abbonamento impostato, ricevo un pop-up che indica quanto segue:

Il registro di destinazione definito in questa sottoscrizione non è presente nell'elenco dei registri di destinazione validi su questo computer. verificare che questo registro esista sul computer e sia valido come destinazione per gli eventi inoltrati. I registri classici, i log analitici e di debug e il registro di sicurezza non possono essere utilizzati come destinazione.

Qualcuno sa cos'è un "registro di destinazione valido" e come potrei trasformare il mio CustomLog in una destinazione così valida?

windows-server-2008  forwarding  windows-event-log  winrm 
MikeSec
fonte

Risposte:

1

Il seguente blog Microsoft descrive in dettaglio i passaggi per la creazione di file di registro separati. In effetti, è possibile creare un numero qualsiasi di file di registro. Ho appena completato i passaggi e posso confermare che funziona su Windows 10.

Creazione di registri di inoltro eventi di Windows personalizzati

Facendo un ulteriore passo avanti, ho trovato utile il seguente blog Microsoft per la configurazione di un'architettura a più livelli.

Monitoraggio client fai-da-te - Impostazione dell'inoltro di eventi a livelli

user2320464
fonte
0

wecutil consente di utilizzare un file XML per fornire informazioni sulla configurazione. Puoi provare a posizionare CustomLog come destinazione target.

Vedi https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Contiene un file XML di esempio che è possibile utilizzare

Si prega di guardare anche https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event- collettore-source-initiated? forum = winservergen

Ciò suggerisce che potrebbe non essere possibile, ma offre la soluzione XML come opzione, ma senza alcuna conferma del successo.

47cloud
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.