Was ist ein gültiges Zielprotokoll für die Windows-Ereignisweiterleitung?

8

Beim Versuch, ein benutzerdefiniertes Protokolljournal zum Speichern weitergeleiteter Ereignisse (über Abonnement) auf einem Windows 2008 R2-Server zu verwenden, tritt ein Problem auf. Das benutzerdefinierte Protokoll wird als kein "gültiges Zielprotokoll" beschrieben.

Derzeit richte ich eine Architektur für die Zentralisierung von Windows-Ereignissen mithilfe der integrierten Funktionen für die Weiterleitung und Erfassung von Ereignissen ein (über WS-Management und Wecutil).

Eine meiner Anforderungen besteht darin, mehrere Abonnements auf dem Collector-Computer erstellen und weitergeleitete Ereignisse in verschiedenen Protokolldateien speichern zu können. Zu diesem Zweck habe ich das Erstellen eines benutzerdefinierten Protokolls (CustomLog) getestet. Dieses Protokoll wird in der Ereignisanzeige unter der Kategorie "Anwendungs- und Dienstprotokolle" angezeigt.

Ich kann jedoch weitergeleitete Ereignisse nicht an dieses CustomLog umleiten. CustomLog wird beim Erstellen eines Abonnements in der Benutzeroberfläche der Ereignisanzeige nicht in der Liste der möglichen Ziele angezeigt.

Um zu versuchen, was falsch sein könnte, habe ich es mit den Standard-ForwardedEvents als Ziel belassen und versucht, es über Powershell zu ändern. Ich habe den folgenden Befehl ausgeführt, der das Zielprotokoll als CustomLog festlegen soll:

wecutil ss "Collect from both sources" /lf:CustomLog

Es lief ohne Fehler. Es werden jedoch keine Ereignisse in CustomLog protokolliert. Wenn ich zur GUI zurückkehre, um Abonnements zu erstellen / zu ändern, und versuche, das von mir festgelegte Abonnement zu öffnen, wird ein Popup mit folgenden Informationen angezeigt:

Das in diesem Abonnement definierte Zielprotokoll kann nicht in der Liste der gültigen Zielprotokolle auf diesem Computer gefunden werden. Stellen Sie sicher, dass dieses Protokoll auf dem Computer vorhanden ist und als Ziel für weitergeleitete Ereignisse gültig ist. Beachten Sie, dass klassische Protokolle, Analyse- und Debug-Protokolle sowie das Sicherheitsprotokoll nicht als Ziel verwendet werden können.

Weiß jemand, was ein "gültiges Zielprotokoll" ist und wie ich mein CustomLog in ein so gültiges Ziel verwandeln kann?

MikeSec
quelle

Antworten:

1

Im folgenden Microsoft-Blog werden die Schritte zum Erstellen separater Protokolldateien beschrieben. Tatsächlich können Sie eine beliebige Anzahl von Protokolldateien erstellen. Ich habe gerade die Schritte ausgeführt und kann bestätigen, dass es unter Windows 10 funktioniert.

Erstellen von benutzerdefinierten Windows-Ereignisweiterleitungsprotokollen

Ich ging noch einen Schritt weiter und fand das folgende Microsoft-Blog hilfreich, um eine abgestufte Architektur einzurichten.

DIY Client Monitoring - Einrichten der gestuften Ereignisweiterleitung

user2320464
quelle
0

Mit wecutil kann eine XML-Datei verwendet werden, um Konfigurationsinformationen bereitzustellen. Sie können versuchen, CustomLog als Ziel festzulegen.

Siehe https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Es enthält eine XML-Beispieldatei, die Sie verwenden können

Bitte schauen Sie auch unter https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event- Collector-Source-initiiert? Forum = Winservergen

Dies deutet darauf hin, dass dies möglicherweise nicht möglich ist, bietet jedoch die XML-Lösung als Option an, jedoch ohne Bestätigung des Erfolgs.

47wolke
quelle