1 / 17

Настройка централизованной си c темы сбора событий Windows Eventing Collector

Настройка централизованной си c темы сбора событий Windows Eventing Collector. Иван Квасников kvasnikov@live.ru http://kvazar.wordpress.com/. Возможности. Позволяет централизовано хранить и обрабатывать журналы событий

gallia
Download Presentation

Настройка централизованной си c темы сбора событий Windows Eventing Collector

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Настройка централизованной сиcтемы сбора событий Windows Eventing Collector Иван Квасников kvasnikov@live.ru http://kvazar.wordpress.com/

  2. Возможности • Позволяет централизовано хранить и обрабатывать журналы событий • Позволяет настроить оповещение по электронной почте или отображение локального сообщения • Позволяет настроить запуск программы при наступлении события

  3. Схема работы

  4. Требования Операционные системы– сборщики событий • Windows Server 2008 • Windows Vista • Windows Server 2003R2 Операционные системы– пересылка событий • Windows Server 2008 • Windows Vista • Windows Server 2003 SP2 • Windows XP SP2 Для пересылки событий с ОС Windows XP и Windows Server 2003 требуется установка компонента WS-Management 1.1 Загрузить его можно по адресу: http://www.microsoft.com/downloads/details.aspx?FamilyID=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en

  5. Требования • Доступ к компьютеру сборщику по протоколу HTTP • (HTTPS в случае сбора событий с компьютера, не являющимся членом домена) • Запущенная служба Windows Firewall • (Запущена по умолчанию) • Запущенная служба Windows Remote Management • (ВWindows Server 2008 запущена по умолчанию) • Выделенная учетная запись пользователя для сбора событий

  6. Настройка • Настройка с помощью групповых политик • Создание и конфигурирование групповой политики • Создание подписки на события • Настройка действия после наступления события (отправка письма по электронной почте, запуск программы) • Ручная настройка • Конфигурирование пересылающего компьютера • Предоставление прав выделенной учетной записи • Конфигурирования собирающего компьютера • Создание подписки на события • Настройка действия после наступления события (отправка письма по электронной почте, запуск программы)

  7. Настройка групповой политики • Создать групповую политику, например GPO-EventForward • В свойствах GPO перейти: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Event Forwarding.В пункте Configure the server address, refresh interval , and issuer certificate authority of a Target Subscription Manager выбрать «Enable»и ввести FQDN имя компьютера-сборщика событий • Перейти в раздел: Computer Configuration >> Policy >> Administrative Templates >> Windows Components >> Windows Remote management >> WinRM Service, выбрать пункт Allow automatic configuration of listeners, в полях Ipv4 и Ipv6 поставить знак «*» • Назначить политику подразделению (OU), содержащему предоставляющий и собирающий события компьютеры • Добавить выделенную учетную запись в группу «Event Log Readers» (Читатели журнала событий) на пересылающем компьютере или использовать Restricted Group в составе групповой политики

  8. Настройка групповой политики Демонстрация Иван Квасников

  9. Ручная настройка • Запуск на пересылающем компьютере команды winrmquickconfig • Добавление выделенной учетной записи в группу «Event Log Readers» (Читатели журнала событий) на пересылающем компьютере • Запуск на собирающем события компьютере команды wecutil qc • Проверка соединения

  10. Ручная настройка Event Collector Демонстрация Иван Квасников

  11. Создание подписки на события • Создается в оснастке «Просмотр событий» узла «Диагностика» консоли Диспетчера сервера • Типы подписки: • Инициация сборщиком • Инициация исходным компьютером • Пересылка по протоколу HTTPS • команда winrmquickconfig –transport:https • Дополнительные параметры подписки: • Minimize Bandwidth (уменьшение пропускной способности) • Minimize Latency (уменьшенная задержка) • команда wecutilss

  12. Создание подписки на события Демонстрация Иван Квасников

  13. Настройка действий при наступлении события • Оповещение о наступлении события в сообщении электронной почты • Оповещение в виде локального сообщения • Запуск программы при наступлении события

  14. Настройка действий при наступлении события Демонстрация Иван Квасников

  15. Ресурсы • Мой блог – • http://kvazar.wordpress.com/ • MSDN – • http://msdn.microsoft.com/en-us/library/bb427443(VS.85).aspx • Windows Server Customer Engineering TechNet Blog – • http://blogs.technet.com/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

More Related