Windows Source-Initiated事件订阅不会将事件转发到收集器

时间:2015-12-22 18:16:19

标签: windows events subscription

Windows Source-Initiated事件订阅不会将事件转发给收集器。

以下是我使用的设置以及我为解决问题所采取的步骤。

源计算机设置(操作系统:Windows Server 2012 R2):

  1. 已配置Windows远程管理 winrm qc –q

  2. 配置了事件收集器服务 wecutil qc /q

  3. 将收集器的地址添加到注册表或通过组策略编辑器 Server=http://<Collector’s FQDN>:5985/wsman/SubscriptionManager/WEC

  4. 应用组策略设置 gpupdate /force

    5. 收集器计算机设置(操作系统:Windows 7):

    1. 已配置Windows远程管理 winrm qc –q

    2. 配置了事件收集器服务 wecutil qc /q

    3. 启用HTTP兼容性侦听器 winrm set winrm/config/Service @{EnableCompatibilityHttpListener="true"}

    4. 应用组策略设置 gpupdate /force

    5. 创建订阅 wecutil cs Subscription.xml 

      6. <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>NotificationSubscription</SubscriptionId>
  <SubscriptionType>SourceInitiated</SubscriptionType>
  <Description>Alert subscription</Description>
  <Enabled>true</Enabled>
  <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

  <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
  <ConfigurationMode>Custom</ConfigurationMode>

  <Delivery Mode="Push">
    <Batching>
      <MaxItems>1</MaxItems>
      <MaxLatencyTime>1000</MaxLatencyTime>
    </Batching>
    <PushSettings>
      <Heartbeat Interval="60000"/>
    </PushSettings>
  </Delivery>

  <Query>
    <![CDATA[
            <QueryList>
                <Query Path="Notification">
                    <Select Path="Notification">*</Select>
                </Query>
            </QueryList>
        ]]>
  </Query>

  <ReadExistingEvents>true</ReadExistingEvents>
  <TransportName>http</TransportName>
  <ContentFormat>RenderedText</ContentFormat>
  <Locale Language="en-US"/>
  <LogFile>ForwardedEvents</LogFile>
  <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
  <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

      1. 在源计算机上应用组策略设置(gpupdate / force)。这会导致源计算机在事件查看器订阅中显示订阅,并带有绿色复选标记。有时这有效,有时源计算机甚至没有在源计算机列表中列出。

      2. 如果源计算机上的Notifications日志中有事件,并且在那里生成了新的日志条目,则事件将无法显示在收集器计算机上的ForwardedEvents日志中。

        3. 我在收集器上运行了以下命令,但没有发现任何问题:

        • winrm id / r:<Source Computer> / a:none

        • winrm id / r:<Source Computer> / u:<username> / p:<password>

        • wecutil gr <subscription name>

        有时我在收集器的系统事件日志中看到以下警告:

        “WinRM服务未侦听WS-Management请求。  用户操作 如果您没有故意停止该服务,请使用以下命令查看WinRM配置:winrm enumerate winrm / config / listener“

        有人可以告诉我为什么这不起作用吗?

        谢谢!

0 个答案:

没有答案
相关问题
最新问题