如何巧用轉發和訂閱集中管理服務器日志

本篇文章給大家分享的是有關如何巧用轉發和訂閱集中管理服務器日志，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

事件日志管理是服務器維護中的一項非常重要的日常工作，當然也是一項耗費精力、體力的工作，特 別是當局域網中有非常多的應用服務器時更是如此。一個好的管理方案是，部署一個專門用于事件日志管 理的中央服務器，然后將其他服務器上的日志轉發到該中央服務器上實施集中管理。不過，這需要利用第 三方軟件來實現。在Windows Server 2008中提供了一項新功能，通過它我們可以實現服務器事件日志的 轉發和訂閱，就可以自定義將特定的服務器事件日志集中起來管理了。下面筆者部署環境，對此進行實例 演示。

環境描述：

下面以域環境為例進行演示，有兩臺服務器：一臺為server1，作為源 服務器，以轉發日志到日志服務器;一臺為server2，作為日志服務器，以訂閱源服務器上轉發的日志。

任務目標：

將server1服務器過去的24小時內ID為100的錯誤系統日志實時轉發到日志服務 器server2中，并且一旦server1上有符合設定的日志，在server2上會以消息框的形式通知管理員。

實現過程：

1.創建自定義視圖

以管理員身份登錄server1服務器，依次單擊 “開始”→“運行”，輸入eventvwr.msc打開“事件查看器”窗口 。在左窗格中點擊選中“自定義視圖”，然后點擊展開“操作”菜單選擇“ 創建自定義視圖”命令。在“創建自定義視圖”向導窗口的“篩選器”標簽 頁中，設置“記錄時間”為“過去的24小時”，“事件級別”為 “錯誤”，“事件日志”為“系統”。設置完畢后單擊“確定 ”退出，在彈出的“將篩選器保存到自定義視圖”對話框中，我們為視圖命名為 “Error Events (24 hours)”，然后“確定”退出。這樣可以在“自定義視 圖”下看到剛才創建的名為“Error Events (24 hours)”的視圖。(圖1)

2.將自定義事件添加到系統日志

其實，這一步在實戰中是不需要的，筆者之所以加這一 步是為了檢驗我們創建的自定義視圖的效果，即創建一個自定義的特定事件，然后看看在自定義視圖中是 否會出現。在server1服務器中以管理員身份運行命令提示符，然后執行命令“Eventcreate /T ERROR /ID 100 /L SYSTEM /D "Application Error #1" /SO MyApp”，可以看到該命令 成功執行，通過該命令我們自定義了一個事件。Eventcreate命令用于創建事件日志，參數 “/T”用于指定事件的級別為“ERROR”，參數“/ID”用于指定事件ID 為“100”，參數“/L”用于指定事件的類型為“SYSTEM”，參數 “/D”是事件的描述“Application Error #1”，參數“/SO”是事件 的來源即“MyApp”。自定義日志創建完畢后，我們重新打開“事件查看器”，定 位到“自定義視圖”下的“Error Events (24 hours)”上，展開“操作 ”菜單選擇“刷新”命令，刷新完畢后就可以看到我們剛才自定義的事件，因為它符合 我們剛才創建的自定義視圖的篩選條件，同時也驗證了我們創建的自定義視圖是正確的。(圖2)

3.創建事件訂閱

以管理員身份登錄server2服務器，進入其“事件查看器”控制臺窗口。點擊其最下面 的“訂閱”項，此時會彈出一個對話框詢問我們是否要啟動“Windows事件收集器服務 ”，點擊“是”啟動該服務。然后右鍵單擊“訂閱”在右鍵菜單中選擇 “創建訂閱”命令彈出“訂閱屬性”對話框。在該對話框中進行設置：訂閱名稱為 “MyApp Errors on server1”即來自服務器server1的系統錯誤事件;單擊“源計算機 ”項下的“添加”按鈕彈出“選擇計算機”對話框，輸入server1將需要訂閱 事件日志的服務器添加進來，單擊“確定”返回到“訂閱屬性”對話框。在此，我 們可按照上面的方法添加多個服務器。添加完畢后，單擊下面右側的“測試”按鈕以驗證剛才 添加的服務器的有效性。如果彈出一個錯誤對話框，我們不用管單擊“確定”即可。之所以彈 出這個錯誤對話框，是因為server1上的WimRM沒有啟動并配置，我們后續進行配置即可。(圖3)

返回到“訂閱 屬性”對話框，單擊“選擇事件”按鈕進入“查詢篩選器”對話框。在該對 話框中進行如下設置：設置“記錄時間”為“過去的24小時”，事件級別為 “錯誤”，事件日志為“Windows日志\系統”，事件ID為“100”，設 置完畢后退出“選擇事件”對話框。在訂閱屬性”對話框，單擊“高級”按 鈕進入“高級訂閱設置”對話框。在該對話框中設置“用戶賬戶”為“具體 用戶”，然后單擊右側的“用戶和密碼”按鈕彈出“訂閱源的憑據”對話框 。默認用戶名為administrator，在下面輸入管理員的密碼即可。然后設置“事件傳遞優化” 方式為“最小化滯后時間”，協議和端口保持默認。***單擊“確定”退出 “訂閱屬性”對話框，此時會彈出“事件查看”提升對話框告訴我們下一步的做法 ，單擊“是”退出即可。此時，從“事件查看器”控制臺的“訂閱”節 點中可以看見我們剛才創建的訂閱，不過卻顯示為一個紅色的驚嘆號，這是因為server1的WimRM沒有啟動 并配置。(圖4)

4.啟動并配置 WimRM

以管理員身份登錄服務器server1，然后以管理員身份運行命令提示符，執行命令 “WINRM QuickConfig”快速配置WinRM。命令執行時，會提示WindRM客戶端會處于監聽狀態， 并且可穿越防火墻，詢問我們是否改變，屬于“y”并回車后sever1上的WinRM快速配置完畢。 下面我們登錄日志服務器server2進行驗證，進入其“事件查看器”控制臺，右鍵單擊“ 訂閱”選擇右鍵菜單中的“刷新”命令，刷新完畢后，可以看到我們剛才創建的訂閱顯 示為綠色的對勾，表示已經正常了。此外，我還可以進一步地進行驗證。登錄日志服務器server2，然后 以管理員身份打開命令提示符，輸入命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"”，如果命令成功執行說 明我們的配置無誤。這個命令行使用eventcreate命令在日志服務器server2上為server1創建一個事件日 志，其中參數“/S”指定目標服務器，test.com是域名，server2是服務器名。在server2的 “事件查看器”控制臺中，依次展開“Windows日志”→“轉發的事件 ”節點上，我們右鍵單擊該節點選擇“刷新”，可以在右側看到剛才創建的日志已經轉 發成功。同樣的，我們登錄server1服務器，在事件查看控制臺中可看到剛才通過server2創建的日志。這 說明我們的配置是正確的。(圖5)

5.將任務附加到事件

將任務附加到事件這是一項非常有用的功能，我們可將任務和事件捆綁在一起，當事件發生時， 會觸發一個任務。利用此功能我們可實現當某個事件發生時，運行一個程序或腳本，或者顯示一個警報， 甚至發送一封電子郵件以通知管理員引起重視，一般采取相應的行動。本例中，我們就以觸發一個警報為 例。即當服務器server1上發生了我們定義的事件是，在日志服務器server2上會顯示一個警示對話框。具 體實現方法如下。

登錄日志服務器server2，進入其“事件查看器”控制臺，定位到 “Windows日志”→“轉發事件”節點上，在右側的內容窗格中找到我們剛才 自定義的日志“MyApp Encountered an error”，右鍵單擊該日志選擇“將任務附加到 此事件”命令打開“創建基本任務向導”。在“創建基本任務”頁面，設置 名稱為“MyApp Error 100 Interactive Notification”;在“操作”頁面設置 “希望該任務執行的操作”為“顯示消息”，消息的標題為“SERVER2服務器 事件報告”，消息內容為“Server2服務器發生了一個系統錯誤，請管理員馬上進行排錯! ”，設置完成后退出該向導。此時會彈出一個提示對話框，我們“確定”即可。(圖6)

6.驗證日志報告

到這一步我們就完成了服務器間日志的訂閱和轉發，下面我們驗證一下效果。這項操作可以在服 務器server2上執行，也可在日志服務器server1上執行，我們就在服務器server2上驗證。驗證的思路是 ，在服務器server2上創建通過EVENTCREATE命令子定義并向服務器server1上轉發一個系統錯誤日志，然 后看看我們設置的事件警報會有什么反應。在服務器server2上以管理員身份運行命令提示符，然后執行 命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"E”。命令執行完畢后，看到彈出一個警告對話框，提示 Server2服務器發生了一個系統錯誤，請管理員馬上進行排錯!”，而這正是我們剛才設置的警告框 。可見，我們的試驗成功了。這樣，當服務器server1上如果有我們定義的事件發生時，管理員就會在日 志服務器上看到。

以上就是如何巧用轉發和訂閱集中管理服務器日志，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。