尝试使用自定义日志日志在
Windows 2008 R2服务器上存储转发事件(通过订阅)时,我遇到了一个问题,自定义日志被描述为不是“有效的目标日志”.
@H_502_1@我目前正在建立一个使用内置事件转发和收集功能(通过WS-management和wecutil)集中Windows事件的架构.
@H_502_1@我的一个要求是能够在收集器计算机上创建多个订阅并将转发的事件存储在不同的日志文件中.为此,我测试了创建自定义日志(称为CustomLog).此日志显示在“应用程序和服务日志”类别下的“事件查看器”中.
@H_502_1@但是,我无法将转发的事件重定向到此CustomLog.在事件查看器用户界面中创建订阅时,CustomLog不会出现在可能的目标列表中.
@H_502_1@为了尝试可能出错的地方,我将默认的ForwardedEvents作为目的地,并尝试通过Powershell进行更改.我运行了以下命令,该命令应该将目标日志设置为CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog@H_502_1@它运行没有错误.虽然,没有事件记录到CustomLog中,当我回到GUI创建/修改订阅并尝试打开我设置的订阅时,我会弹出一个声明如下:
@H_502_1@The destination log defined in this subscription cannot be found in the list of valid destination logs on this computer. verify that this log exists on the computer and is valid as a destination for forwarded events. Note that classic logs,analytic and debug logs and the Security log cannot be used as destination.@H_502_1@有人知道什么是“有效的目的地日志”,以及如何将我的CustomLog转变为这样一个有效的目的地?
以下Microsoft博客详细介绍了创建单独日志文件的步骤.实际上,您可以创建任意数量的日志文件.我刚刚完成了这些步骤,可以确认它适用于Windows 10.
@H_502_1@Creating Custom Windows Event Forwarding Logs
@H_502_1@更进一步,我发现以下Microsoft博客有助于设置分层体系结构.
@H_502_1@DIY Client Monitoring – Setting up Tiered Event Forwarding
原文链接:https://www.f2er.com/windows/370429.html