当我尝试使用自定义日志日志在 Windows 2008 R2 服务器上存储转发事件(通过订阅)时遇到问题,自定义日志被描述为不是“有效目标日志”。
我目前正在建立一个架构,使用内置的事件转发和收集功能(通过 WS-management 和 wecutil)来集中 Windows 事件。
我的要求之一是能够在收集器计算机上创建多个订阅,并将转发的事件存储在不同的日志文件中。为此,我测试了创建自定义日志(称为 CustomLog)。此日志显示在事件查看器中的“应用程序和服务日志”类别下。
但是,我无法将转发的事件重定向到此 CustomLog。在事件查看器用户界面中创建订阅时,CustomLog 不会出现在可能的目标列表中。
为了尝试可能出现的问题,我保留默认的 ForwardedEvents 作为目标,并尝试通过 Powershell 进行更改。我运行了以下命令,该命令应该将目标日志设置为 CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
它运行没有错误。但是,没有事件记录到 CustomLog 中,当我返回 GUI 创建/修改订阅并尝试打开我设置的订阅时,我收到一个弹出窗口,显示以下内容:
此订阅中定义的目标日志无法在此计算机上的有效目标日志列表中找到。请验证此日志是否存在于计算机上,并且可作为转发事件的目标。请注意,经典日志、分析和调试日志以及安全日志不能用作目标。
有人知道什么是“有效目的地日志”以及如何将我的 CustomLog 变成这样一个有效目的地吗?
答案1
以下 Microsoft 博客详细介绍了创建单独日志文件的步骤。事实上,您可以创建任意数量的日志文件。我刚刚完成了这些步骤,可以确认它在 Windows 10 上有效。
更进一步说,我发现以下 Microsoft 博客对于建立分层架构很有帮助。
答案2
wecutil 允许使用 XML 文件来提供配置信息。您可以尝试将 CustomLog 作为目标位置。
看https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx
它包含一个示例 XML 文件,您可以使用
这表明这可能是不可能的,但确实提供了 XML 解决方案作为一种选择,但没有任何成功的确认。