尝试在Windows 2008 R2服务器上使用自定义日志日志来存储转发事件(通过订阅)时遇到问题,自定义日志被描述为不是“有效的目标日志”。
我目前正在使用内置的事件转发和收集function(通过WS-management和wecutil)build立一个集中化Windows事件的体系结构。
我的要求之一是能够在收集器计算机上创build多个订阅,并将转发的事件存储在不同的日志文件中。 为此,我testing了创build一个自定义日志(称为CustomLog)。 此日志显示在“应用程序和服务日志”类别下的“事件查看器”中。
但是,我无法将转发的事件redirect到此CustomLog。 在事件查看器用户界面中创build订阅时,CustomLog不会显示在可能的目标列表中。
为了尝试可能的错误,我将它作为目的地的默认ForwardedEvents,我试图通过Powershell进行更改。 我运行了下面的命令,应该把目标日志设置为CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog 它运行没有错误。 虽然没有事件被logging到CustomLog中,当我回到GUI来创build/修改订阅,并尝试打开我设置的订阅时,出现一个popup窗口,说明以下内容:
此计算机上的有效目标日志列表中找不到此预订中定义的目标日志。 validation此日志是否存在于计算机上,并且作为转发事件的目标是有效的。 请注意,传统日志,分析和debugging日志以及安全日志不能用作目标。
有谁知道什么是“有效的目的地日志”,以及如何将我的CustomLog变成这样一个有效的目的地?
以下Microsoft博客详细介绍了创build单独的日志文件的步骤。 实际上,您可以创build任意数量的日志文件。 我刚刚完成了这些步骤,并可以确认它在Windows 10上的工作。
创build自定义Windows事件转发日志
更进一步,我发现以下Microsoft博客有助于设置分层体系结构。
DIY客户端监控 – 设置分层事件转发
wecutil允许使用XML文件来提供configuration信息。 您可以尝试将CustomLog作为目标目标。
请参阅https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx
它包含一个可以使用的示例XML文件
这表明它可能是不可能的,但确实提供了XML解决scheme作为选项,但没有任何成功的确认。