事件日志订阅-基于 源已启动

Windows事件日志订阅有两种模式：

收集器已启动：配置简单，客户端启用winrm quickconfig –q即可，然后在收集器中只能单台计算机进行添加，需要添加Event Log Readers权限用户

源已启动：通过组策略配置，可以针对计算机组进行添加

 

下面实验为基于 源已启动。

Subscription Manager：Win08r22（Windows Server 2008 R2）

Forwarder：win0832（Windows Server 2008）、win08rp4（windows Server 2008 R2）、DC00（windows server 2012）

 

客户端（Forwarder）配置均通过组策略实现：

1.为客户端添加Event Log Readers组成员：

计算机配置-windows设置-安全设置-受限制的组：Event Log Readers—NETWORK SERVICE

说明：如果不添加NETWORK SERVICE账户，则Windows Server 2008会订阅不成功，报错信息为：The subscription “” can not be created.The error code is 5004.

      如果客户端都是Windows Server 2008 R2或2012则可以省略该步骤。

      添加NETWORK SERVICE账户到Event Log Readers组后，需要重启计算机生效（如果2008 R2和2012出现“访问被拒绝”的错误提示，则重启后正常）。

2. 为客户端配置目标订阅管理器：

管理模板-Windows组件-事件转发-配置目标订阅管理器

  启用 值为： server=win08r22.testw.com，如下：

 

3．为客户端配置WinRM服务：（该策略可启用客户端的Winrm并对其进行配置，只有Windows Server2012默认已启用并配置好，Windows 2008 R2也需要通过策略才能生效）

管理模板-Windows组件-Windows远程管理-WinRM服务-允许通过WinRM进行远程服务器管理  (注：该步骤相当于在客户端执行“winrm quickconfig -q”命令，撤销该条策略后会失效)

启用 Ipv4筛选器 *，如下图：

 

服务器端（Subscription Manager）配置：

1. Windows Firewall服务必须启用，否则新建的订阅会出现“访问被拒绝”的错误提示。防火墙配置文件均设置为“关闭”即可。

2. 新建订阅：

   订阅类型和源计算机选择“源计算机已启动”—选择计算机组（在AD中新建一个包含Forwarder计算机的组），在此处也可以直接添加计算机名称

   选择事件—按需选择即可

配置高级设置—默认即可

配置成功后如下：

 

 

 

排错：

客户端（Windows Server 2008 R2、Windows Server 2012）报错信息：

The forwarder is having a problem communicating with subscription manager at address win08r22.testw.com.  Error code is 5 and Error Message is <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="WIN08r4p.testw.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.

客户端（Windows Server 2008）报错信息和R2不同，如下：

The subscription “” can not be created.The error code is 5004.

两种错误都是由于“network service”账户访问远程客户端上的security日志权限不足导致，重启服务器后即可(要保证network service账户已经添加到Event Log Readers组中）

 

查看winrm监听器：

Winrm e winrm/config/listener