如何构建windows日志收集服务器

以前我在讲MCITP课程时，经常会提到事件日志查看这项Windows 产品自带的功能，但是总感觉如果企业规模小，服务器数量少的话，那么管理员登录到每台服务器查看报错日志还可以，但是当我在运维过程中发现随着服务器数量的不断增加，管理员再去一台一台登录服务器查看相关报错日志，可能就有些不便了，那么有没有一种更好地办法能让管理员登录一台服务器就可以查看到所有服务器的日志报错呢？

其实办法还是有的，但是在提解决办法前呢，还是不得不说一说Windows 事件日志，在Windows server 2008 服务器包括以下两个类别的事件日志：Windows 日志和应用程序和服务日志，这两种日志是最为基本也是最为典型的日志分类，但是仅仅查看这些日志对于运维人员来说，还是不能够满足的，就单单来说域控制器吧，我们运维过程中就需要关注这几个东东：

1、活动目录服务(Active Directory Web Services)

2、DFS Replication

3、目录服务、硬件事件

4、DNS服务器

那么在Windows server 2008 提供从多台远程计算机收集事件的副本并将其存储在本地的功能。要想实现此功能需要创建事件订阅。这里我们所提到的订阅功能确切地说就是，指定将收集哪些事件以及将其存储在本地的哪个日志中。激活订阅并收集事件后，所有被订阅服务器就会将预定义的报错信息发向指定的收集服务器，这样就可以像对任何存储在本地的其他事件那样查看和操作这些转发的事件，这个功能我觉得还不错，至少还是系统自带还免费嘛，Be right back。

接下来我们就来看看如何配置计算机以转发和收集事件。

1、首先呢，要实现事件日志订阅功能必须配置收集计算机（收集器）和每台将从其收集事件的计算机（源），然后才能创建订阅来收集计算机上的事件。

2、以管理员身份登录到所有源计算机。

3、在每台源计算机上，以管理员身份运行命令提示符并运行下图所示命令：

4、以管理员身份登录收集日志服务器，并以管理员身份运行命令提示符，输入如下命令：

5、将收集器计算机的计算机帐户添加到每台源计算机上的本地管理员组中；

至此呢，我们就完成了相关准备前工作了。

接下来，我们就简单来看看如何完成相关订阅操作：

1) 在收集计算机上，以管理员身份运行事件查看器，如下图所示；

2) 在控制台中单击“订阅”节点；

3) 在“操作”菜单上，单击“创建订阅”；

4) 在“订阅名称”框中，键入订阅的名称，在“目标日志”框中，选择要存储所收集事件的日志文件，默认会将这些收集到的日志存储在“转发事件”中；

5) 单击“添加”，然后选择要从中收集事件的计算机，本例中，我们由于只收集PEK1-DCS-01这台域控的日志，则只要添加此计算机即可，添加完成后，单击“测试”按钮，查看连接状态，如下图所示；

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!