CertBase Community
Die Lernplattform für Ihren Erfolg
Ereignisabonnements in Windows 7 und Server 2008 R2

Die Ereignisanzeige ist die erste Anlaufstelle, wenn es um die Problembehandlung von Fehlern geht, die nicht sofort eingeordnet werden können. Häufig deckt ein Blick in die Ereignisprotokolle auch Konfigurationsfehler auf, die man ohne die Protokollierung nicht wahrgenommen hätte.

Mit Windows 7 und Windows Server 2008 R2 können Einträge aus den Protokollen mehrerer Remotesysteme (Quellcomputer) in ein zentrales Protokoll auf einem Sammlungscomputer kopiert werden.

Die Konfiguration der Ereignisweiterleitung und Sammlung gliedert sich grob in zwei Schritte:

  • 1. Vorbereitung der Quellcomputer und des Sammlungscomputers
  • 2. Konfiguration der Ereignisabonnements

Das Schaubild veranschaulicht die notwendigen Schritte:

Konfiguration der Quellcomputer

Der Befehl Winrm.exe quickconfig konfiguriert den Dienst Windows Remoteverwaltung für den automatischen Start, erstellt einen HTTP-Listener für die Remoteverwaltung und konfiguriert bei Bedarf auch gleich eine Ausnahme in der Windows-Firewall.

Über den Befehl Winrm enumerate winrm/config/listener können Sie sich die Konfiguration des HTTP-Listeners anzeigen lassen:

Wenn Sie den Dienst später wieder deaktivieren und den Listener löschen wollen, können Sie den folgenden Befehl verwenden:

Winrm delete winrm/config/listener ?Address=*+Transport=HTTP

Standardmäßig wird das Computerkonto des Sammlungscomputer im Rahmen der Authentifizierung und Autorisierung für den Zugriff auf die Ereignisprotokolle verwendet. Sie müssen das Computerkonto des Sammlungscomputer daher auf allen Quellcomputern in die Gruppe der Administratoren aufnehmen.

Achten Sie darauf, den Objekttyp Computer in der Liste der Objekttypen zu aktivieren.

Konfiguration des Sammlungscomputers

Auf dem Sammlungscomputer können Sie den Befehl Wecutil.exe /qc (Windows Event Collector Utility) verwenden, um den Dienst Windows-Ereignissammlung für den automatischen Start zu konfigurieren. Bei der Konfiguration des ersten Ereignisabonnements wird die Durchführung dieser Aktion jedoch auch automatisch über die Ereignisanzeige angeboten.

Konfigurieren eines Ereignisabonnements

Klicken Sie in der Konsole Ereignisanzeige mit der rechten Maustaste auf den Knoten Abonnements und anschließend auf die Option Abonnements erstellen.

Im Dialog Abonnementeigenschaften können Sie einen Namen für das Abonnement vergeben, das Zielprotokoll festlegen und anschließend die Computer auswählen, von denen Protokolleinträge kopiert werden sollen

Beim Hinzufügen eines Quellcomputers können Sie einen Konnektivitätstest durchführen

Über den Abfragefilter legen Sie die Kriterien fest, nach denen die Ereignisse für die Übermittlung ausgewählt werden. Die Auswahlmöglichkeiten der Protokolle werden vom lokalen Computer übernommen.

Wenn Sie einen Sammlungscomputer mit dem Betriebssystem Windows 7 verwenden, steht Ihnen das Protokoll Verzeichnisdienst eines Domänencontrollers daher nicht zur Verfügung. Sie können sich in solchen Fällen behelfen, indem Sie mit der Konsole Ereignisanzeige eine Verbindung mit dem Quellserver herstellen und eine benutzerdefinierte Ansicht mit den gewünschten Filtereinstellungen erstellen. Anschließend können Sie sich wieder mit dem lokalen Computer verbinden und die Einstellungen der benutzerdefinierten Ansicht importieren.

Auf diese Weise können Sie auch das Protokoll Verzeichnisdienst (Directory Services) als Quelle für die zu übertragenden Ereignisse festlegen.

Im normalen Modus werden durch den Sammlungscomputer alle 5 Minuten Verbindungen initiiert und Einträge im Pullverfahren kopiert.

Über die erweiterten Abonnementeinstellungen können Sie auch Pushverfahren zur Optimierung der Bandbreite und zur Reduzierung von Wartezeiten aktivieren. Für die Übertragung im Pushverfahren sind jedoch weitere Konfigurationseinstellungen auf Basis von lokalen oder domänenbasierten Richtlinieneinstellungen erforderlich.

Die gesammelten Einträge werden im Protokoll Weitergeleitete Ereignisse angezeigt:


Eingetragen Sun, 18. Mar 2012 13:21 von Maik
CertBase - IT-Prüfungsvorbereitung Online