2012年2月23日 星期四

S小魚仔S Windows Server 2008 R2 Forwarded Events (事件紀錄轉送)

花了「三天」時間,終於完成「邪惡計畫」,曾經在「Tiger Lin」文章看到「Windows 事件紀錄的轉送」,發現這真的「IT 人員」的一大「福音」,這功能「Win Server 2008」就已經有,那麼「Landy」就使用「Win Server 2008 R2」來實作。

AD」負責收集「Event Log」( Server 2008 R2 )
Win-XP」負責轉送「Event Log」(  Windows XP )
Win-7」負責轉送「Event Log」( Windows 7 )
Win-2003」負責轉送「Event Log」(  Server 2003 R2 )
Win-2008」負責轉送「Event Log」( Server 2008 R2 )























AD.coolwe.com 收集「Event Log」設定

點選「電腦」=>「管理

診斷」=>「事件檢視器」=>「訂閱

點選「

訂閱」功能,這時候就「啟動」完成

Win-2003.coolwe.com  傳送 「Event Log」設定
PS.「Win-2003」、「Win-XP」需要安裝「WS-Management v1.1

開啟「命令提示字元」=>「winrm qc -q
PS. 自動幫您設定「傳送」的「連接埠」與 開啟「例外防火牆

輸入「winrm Enumerate winrm/config/listener
PS. 檢視「設定」完成,的「狀態」,注意「Win 2003、XP」預設「Port」是「80

將「網域」的「Administrator」帳戶,加入「本機」的「Administrators」群組
PS.「Win XP、2003、2003 R2」沒有「Event Log Readers」群組,故加入「Administrators」群組


Win-7.coolwe.com   傳送 「Event Log」設定

Windows 7 ,啟用「命令提示字元」時,需要使用「網域」的「Administrator」執行。
PS. 「Shift」+「右鍵」,就可以切換「使用者」執行

使用「網域」的「administrator」進行「設定

輸入「winrm qc -q

輸入「winrm Enumerate winrm/config/listener
PS. 檢視「設定」完成,的「狀態」,注意「Win  2008、2008 R2、7」預設「Port」是「5985

將「網域」的「administrator」帳戶,加入「本機」的「Event Log Readers」賦予權限


Win-XP.coolwe.com 傳送「Event Log」設定
PS.「Win-2003」、「Win-XP」需要安裝「WS-Management v1.1


開啟「命令提示字元」=>「winrm qc -q
PS. 自動幫您設定「傳送」的「連接埠」與 開啟「例外防火牆



輸入「winrm Enumerate winrm/config/listener
PS. 檢視「設定」完成,的「狀態」,注意「Win 2003、XP」預設「Port」是「80


您可以順便「瀏覽」一下「防火牆」,當您使用完「上述」指令,會在「例外」,發現一條「80」Port,的「規則

將「網域」的「Administrator」帳戶,加入「本機」的「Administrators」群組
PS.「Win XP、2003、2003 R2」沒有「Event Log Readers」群組,故加入「Administrators」群組


AD.coolwe.com 訂閱「Event Log」設定

接下,就是準備「收集」「Event Log」,點選「建立訂閱

1. 輸入「訂閱名稱
2. 選擇「選取電腦

加入「訂閱」的「網域電腦

點選「選取事件

選擇「訂閱」那些「Event Log

點選「進階

1. 選擇「特定的使用者
2. 點選「使用者和密碼」,進行「密碼」確認
3. 選擇「協定」與「通訊埠

點選「確定

此時,您就會看到「來源電腦」顯示「1」,就表示您「設定成功
點選「執行階段狀態

會顯示「使用中

依序加入欲收集「Event Log」的「電腦

每當有新的「Event Log」產生,此時就能接收到「訊息


~~~ 注意事項: ~~~

Server 2003、Win XP」=>「選取電腦」=>「測試」,會發生「WinRM 用戶端無法在指定時間內完成操作....」,並不會「影響」「Event Log」轉送,應該是有「BUG」。





Win 7、Server 2008、Server 2008 R2」=>「選取電腦」=>「測試」,就會出現「連線測試成功

Win 7、Server 2008、Server 2008 R2 」 ,訂閱「Port」為「5985

 Win XP、Server 2003  ,訂閱「Port」為「80

若出現「事件識別碼 111」可以不用理會。

===============================================================
參考資料:
「1ask2.com」-「AD 群組佈署設定
「Microsoft Technet」-「Event ID 111