我在将事件日志转发到收集器服务器时遇到问题。我已经关注了如何设置它的各种文章,并在源上启用了winrm,在收集器上启用了wecutil。我确保收集器位于事件日志读取器组中,并启用了Windows防火墙规则,但未启用防火墙。我已使用收集器启动和用户帐户的计算机帐户正确设置了订阅,但是“转发事件”日志中没有显示任何事件,并且运行时状态失败,并显示以下错误:
错误 - 上次重试时间:10/12/2016 8:55:12 AM。代码(0x80338095):从推送订阅源到客户端的连接测试失败。如果启动推送订阅的客户端计算机无法从事件源所在的服务器计算机访问,则会发生这种情况。可能的原因包括防火墙或其他一些网络边界。修改订阅以使用基于拉取的订阅。下次重试时间:10/12/2016 9:00:12 AM
我在网上找不到太多问题来解决这个问题。我可以采取任何措施来确定问题,还是我错过了一些简单的事情?一篇Technet文章谈到了2008服务器的修补程序,我的全部都是2012年。它可能与GPO有关吗?
答案 0 :(得分:1)
使用以下文章对流程的各个部分进行故障排除。 http://tutorial.programming4.us/windows_7/forwarding-events-(part-2)---how-to-troubleshoot-event-forwarding---how-to-configure-event-forwarding-in-workgroup-environments.aspx
结束删除订阅并重新创建订阅,事件开始转发。
答案 1 :(得分:0)
我刚刚将Event Delivery Optimization改回了Normal,然后运行了命令wecutil gr <Subscription name>,看起来像是可行的。