如何巧用轉(zhuǎn)發(fā)和訂閱集中管理服務(wù)器日志

本篇文章給大家分享的是有關(guān)如何巧用轉(zhuǎn)發(fā)和訂閱集中管理服務(wù)器日志，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

事件日志管理是服務(wù)器維護(hù)中的一項非常重要的日常工作，當(dāng)然也是一項耗費(fèi)精力、體力的工作，特 別是當(dāng)局域網(wǎng)中有非常多的應(yīng)用服務(wù)器時更是如此。一個好的管理方案是，部署一個專門用于事件日志管 理的中央服務(wù)器，然后將其他服務(wù)器上的日志轉(zhuǎn)發(fā)到該中央服務(wù)器上實(shí)施集中管理。不過，這需要利用第 三方軟件來實(shí)現(xiàn)。在Windows Server 2008中提供了一項新功能，通過它我們可以實(shí)現(xiàn)服務(wù)器事件日志的 轉(zhuǎn)發(fā)和訂閱，就可以自定義將特定的服務(wù)器事件日志集中起來管理了。下面筆者部署環(huán)境，對此進(jìn)行實(shí)例 演示。

環(huán)境描述：

下面以域環(huán)境為例進(jìn)行演示，有兩臺服務(wù)器：一臺為server1，作為源 服務(wù)器，以轉(zhuǎn)發(fā)日志到日志服務(wù)器;一臺為server2，作為日志服務(wù)器，以訂閱源服務(wù)器上轉(zhuǎn)發(fā)的日志。

任務(wù)目標(biāo)：

將server1服務(wù)器過去的24小時內(nèi)ID為100的錯誤系統(tǒng)日志實(shí)時轉(zhuǎn)發(fā)到日志服務(wù) 器server2中，并且一旦server1上有符合設(shè)定的日志，在server2上會以消息框的形式通知管理員。

實(shí)現(xiàn)過程：

1.創(chuàng)建自定義視圖

以管理員身份登錄server1服務(wù)器，依次單擊 “開始”→“運(yùn)行”，輸入eventvwr.msc打開“事件查看器”窗口 。在左窗格中點(diǎn)擊選中“自定義視圖”，然后點(diǎn)擊展開“操作”菜單選擇“ 創(chuàng)建自定義視圖”命令。在“創(chuàng)建自定義視圖”向?qū)Т翱诘摹昂Y選器”標(biāo)簽 頁中，設(shè)置“記錄時間”為“過去的24小時”，“事件級別”為 “錯誤”，“事件日志”為“系統(tǒng)”。設(shè)置完畢后單擊“確定 ”退出，在彈出的“將篩選器保存到自定義視圖”對話框中，我們?yōu)橐晥D命名為 “Error Events (24 hours)”，然后“確定”退出。這樣可以在“自定義視 圖”下看到剛才創(chuàng)建的名為“Error Events (24 hours)”的視圖。(圖1)

2.將自定義事件添加到系統(tǒng)日志

其實(shí)，這一步在實(shí)戰(zhàn)中是不需要的，筆者之所以加這一 步是為了檢驗我們創(chuàng)建的自定義視圖的效果，即創(chuàng)建一個自定義的特定事件，然后看看在自定義視圖中是 否會出現(xiàn)。在server1服務(wù)器中以管理員身份運(yùn)行命令提示符，然后執(zhí)行命令“Eventcreate /T ERROR /ID 100 /L SYSTEM /D "Application Error #1" /SO MyApp”，可以看到該命令 成功執(zhí)行，通過該命令我們自定義了一個事件。Eventcreate命令用于創(chuàng)建事件日志，參數(shù) “/T”用于指定事件的級別為“ERROR”，參數(shù)“/ID”用于指定事件ID 為“100”，參數(shù)“/L”用于指定事件的類型為“SYSTEM”，參數(shù) “/D”是事件的描述“Application Error #1”，參數(shù)“/SO”是事件 的來源即“MyApp”。自定義日志創(chuàng)建完畢后，我們重新打開“事件查看器”，定 位到“自定義視圖”下的“Error Events (24 hours)”上，展開“操作 ”菜單選擇“刷新”命令，刷新完畢后就可以看到我們剛才自定義的事件，因為它符合 我們剛才創(chuàng)建的自定義視圖的篩選條件，同時也驗證了我們創(chuàng)建的自定義視圖是正確的。(圖2)

3.創(chuàng)建事件訂閱

以管理員身份登錄server2服務(wù)器，進(jìn)入其“事件查看器”控制臺窗口。點(diǎn)擊其最下面 的“訂閱”項，此時會彈出一個對話框詢問我們是否要啟動“Windows事件收集器服務(wù) ”，點(diǎn)擊“是”啟動該服務(wù)。然后右鍵單擊“訂閱”在右鍵菜單中選擇 “創(chuàng)建訂閱”命令彈出“訂閱屬性”對話框。在該對話框中進(jìn)行設(shè)置：訂閱名稱為 “MyApp Errors on server1”即來自服務(wù)器server1的系統(tǒng)錯誤事件;單擊“源計算機(jī) ”項下的“添加”按鈕彈出“選擇計算機(jī)”對話框，輸入server1將需要訂閱 事件日志的服務(wù)器添加進(jìn)來，單擊“確定”返回到“訂閱屬性”對話框。在此，我 們可按照上面的方法添加多個服務(wù)器。添加完畢后，單擊下面右側(cè)的“測試”按鈕以驗證剛才 添加的服務(wù)器的有效性。如果彈出一個錯誤對話框，我們不用管單擊“確定”即可。之所以彈 出這個錯誤對話框，是因為server1上的WimRM沒有啟動并配置，我們后續(xù)進(jìn)行配置即可。(圖3)

返回到“訂閱 屬性”對話框，單擊“選擇事件”按鈕進(jìn)入“查詢篩選器”對話框。在該對 話框中進(jìn)行如下設(shè)置：設(shè)置“記錄時間”為“過去的24小時”，事件級別為 “錯誤”，事件日志為“Windows日志\系統(tǒng)”，事件ID為“100”，設(shè) 置完畢后退出“選擇事件”對話框。在訂閱屬性”對話框，單擊“高級”按 鈕進(jìn)入“高級訂閱設(shè)置”對話框。在該對話框中設(shè)置“用戶賬戶”為“具體 用戶”，然后單擊右側(cè)的“用戶和密碼”按鈕彈出“訂閱源的憑據(jù)”對話框 。默認(rèn)用戶名為administrator，在下面輸入管理員的密碼即可。然后設(shè)置“事件傳遞優(yōu)化” 方式為“最小化滯后時間”，協(xié)議和端口保持默認(rèn)。***單擊“確定”退出 “訂閱屬性”對話框，此時會彈出“事件查看”提升對話框告訴我們下一步的做法 ，單擊“是”退出即可。此時，從“事件查看器”控制臺的“訂閱”節(jié) 點(diǎn)中可以看見我們剛才創(chuàng)建的訂閱，不過卻顯示為一個紅色的驚嘆號，這是因為server1的WimRM沒有啟動 并配置。(圖4)

4.啟動并配置 WimRM

以管理員身份登錄服務(wù)器server1，然后以管理員身份運(yùn)行命令提示符，執(zhí)行命令 “WINRM QuickConfig”快速配置WinRM。命令執(zhí)行時，會提示W(wǎng)indRM客戶端會處于監(jiān)聽狀態(tài)， 并且可穿越防火墻，詢問我們是否改變，屬于“y”并回車后sever1上的WinRM快速配置完畢。 下面我們登錄日志服務(wù)器server2進(jìn)行驗證，進(jìn)入其“事件查看器”控制臺，右鍵單擊“ 訂閱”選擇右鍵菜單中的“刷新”命令，刷新完畢后，可以看到我們剛才創(chuàng)建的訂閱顯 示為綠色的對勾，表示已經(jīng)正常了。此外，我還可以進(jìn)一步地進(jìn)行驗證。登錄日志服務(wù)器server2，然后 以管理員身份打開命令提示符，輸入命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"”，如果命令成功執(zhí)行說 明我們的配置無誤。這個命令行使用eventcreate命令在日志服務(wù)器server2上為server1創(chuàng)建一個事件日 志，其中參數(shù)“/S”指定目標(biāo)服務(wù)器，test.com是域名，server2是服務(wù)器名。在server2的 “事件查看器”控制臺中，依次展開“Windows日志”→“轉(zhuǎn)發(fā)的事件 ”節(jié)點(diǎn)上，我們右鍵單擊該節(jié)點(diǎn)選擇“刷新”，可以在右側(cè)看到剛才創(chuàng)建的日志已經(jīng)轉(zhuǎn) 發(fā)成功。同樣的，我們登錄server1服務(wù)器，在事件查看控制臺中可看到剛才通過server2創(chuàng)建的日志。這 說明我們的配置是正確的。(圖5)

5.將任務(wù)附加到事件

將任務(wù)附加到事件這是一項非常有用的功能，我們可將任務(wù)和事件捆綁在一起，當(dāng)事件發(fā)生時， 會觸發(fā)一個任務(wù)。利用此功能我們可實(shí)現(xiàn)當(dāng)某個事件發(fā)生時，運(yùn)行一個程序或腳本，或者顯示一個警報， 甚至發(fā)送一封電子郵件以通知管理員引起重視，一般采取相應(yīng)的行動。本例中，我們就以觸發(fā)一個警報為 例。即當(dāng)服務(wù)器server1上發(fā)生了我們定義的事件是，在日志服務(wù)器server2上會顯示一個警示對話框。具 體實(shí)現(xiàn)方法如下。

登錄日志服務(wù)器server2，進(jìn)入其“事件查看器”控制臺，定位到 “Windows日志”→“轉(zhuǎn)發(fā)事件”節(jié)點(diǎn)上，在右側(cè)的內(nèi)容窗格中找到我們剛才 自定義的日志“MyApp Encountered an error”，右鍵單擊該日志選擇“將任務(wù)附加到 此事件”命令打開“創(chuàng)建基本任務(wù)向?qū)А?。在“?chuàng)建基本任務(wù)”頁面，設(shè)置 名稱為“MyApp Error 100 Interactive Notification”;在“操作”頁面設(shè)置 “希望該任務(wù)執(zhí)行的操作”為“顯示消息”，消息的標(biāo)題為“SERVER2服務(wù)器 事件報告”，消息內(nèi)容為“Server2服務(wù)器發(fā)生了一個系統(tǒng)錯誤，請管理員馬上進(jìn)行排錯! ”，設(shè)置完成后退出該向?qū)?。此時會彈出一個提示對話框，我們“確定”即可。(圖6)

6.驗證日志報告

到這一步我們就完成了服務(wù)器間日志的訂閱和轉(zhuǎn)發(fā)，下面我們驗證一下效果。這項操作可以在服 務(wù)器server2上執(zhí)行，也可在日志服務(wù)器server1上執(zhí)行，我們就在服務(wù)器server2上驗證。驗證的思路是 ，在服務(wù)器server2上創(chuàng)建通過EVENTCREATE命令子定義并向服務(wù)器server1上轉(zhuǎn)發(fā)一個系統(tǒng)錯誤日志，然 后看看我們設(shè)置的事件警報會有什么反應(yīng)。在服務(wù)器server2上以管理員身份運(yùn)行命令提示符，然后執(zhí)行 命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"E”。命令執(zhí)行完畢后，看到彈出一個警告對話框，提示 Server2服務(wù)器發(fā)生了一個系統(tǒng)錯誤，請管理員馬上進(jìn)行排錯!”，而這正是我們剛才設(shè)置的警告框 ?？梢姡覀兊脑囼灣晒α?。這樣，當(dāng)服務(wù)器server1上如果有我們定義的事件發(fā)生時，管理員就會在日 志服務(wù)器上看到。

以上就是如何巧用轉(zhuǎn)發(fā)和訂閱集中管理服務(wù)器日志，小編相信有部分知識點(diǎn)可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。