共計 3857 個字符，預計需要花費 10 分鐘才能閱讀完成。

本篇文章給大家分享的是有關如何巧用轉發(fā)和訂閱集中管理服務器日志，丸趣 TV 小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著丸趣 TV 小編一起來看看吧。

事件日志管理是服務器維護中的一項非常重要的日常工作，當然也是一項耗費精力、體力的工作，特 別是當局域網(wǎng)中有非常多的應用服務器時更是如此。一個好的管理方案是，部署一個專門用于事件日志管 理的中央服務器，然后將其他服務器上的日志轉發(fā)到該中央服務器上實施集中管理。不過，這需要利用第 三方軟件來實現(xiàn)。在 Windows Server 2008 中提供了一項新功能，通過它我們可以實現(xiàn)服務器事件日志的 轉發(fā)和訂閱，就可以自定義將特定的服務器事件日志集中起來管理了。下面筆者部署環(huán)境，對此進行實例 演示。

環(huán)境描述：

下面以域環(huán)境為例進行演示，有兩臺服務器：一臺為 server1，作為源 服務器，以轉發(fā)日志到日志服務器; 一臺為 server2，作為日志服務器，以訂閱源服務器上轉發(fā)的日志。

任務目標：

將 server1 服務器過去的 24 小時內 ID 為 100 的錯誤系統(tǒng)日志實時轉發(fā)到日志服務 器 server2 中，并且一旦 server1 上有符合設定的日志，在 server2 上會以消息框的形式通知管理員。

實現(xiàn)過程：

1. 創(chuàng)建自定義視圖

以管理員身份登錄 server1 服務器，依次單擊“開始”→“運行”，輸入 eventvwr.msc 打開“事件查看器”窗口。在左窗格中點擊選中“自定義視圖”，然后點擊展開“操作”菜單選擇“創(chuàng)建自定義視圖”命令。在“創(chuàng)建自定義視圖”向導窗口的“篩選器”標簽 頁中，設置“記錄時間”為“過去的 24 小時”，“事件級別”為“錯誤”，“事件日志”為“系統(tǒng)”。設置完畢后單擊“確定”退出，在彈出的“將篩選器保存到自定義視圖”對話框中，我們?yōu)橐晥D命名為“Error Events (24 hours)”，然后“確定”退出。這樣可以在“自定義視 圖”下看到剛才創(chuàng)建的名為“Error Events (24 hours)”的視圖。(圖 1)

2. 將自定義事件添加到系統(tǒng)日志

其實，這一步在實戰(zhàn)中是不需要的，筆者之所以加這一 步是為了檢驗我們創(chuàng)建的自定義視圖的效果，即創(chuàng)建一個自定義的特定事件，然后看看在自定義視圖中是 否會出現(xiàn)。在 server1 服務器中以管理員身份運行命令提示符，然后執(zhí)行命令“Eventcreate /T ERROR /ID 100 /L SYSTEM /D Application Error #1 /SO MyApp”，可以看到該命令 成功執(zhí)行，通過該命令我們自定義了一個事件。Eventcreate 命令用于創(chuàng)建事件日志，參數(shù)“/T”用于指定事件的級別為“ERROR”，參數(shù)“/ID”用于指定事件 ID 為“100”，參數(shù)“/L”用于指定事件的類型為“SYSTEM”，參數(shù)“/D”是事件的描述“Application Error #1”，參數(shù)“/SO”是事件 的來源即“MyApp”。自定義日志創(chuàng)建完畢后，我們重新打開“事件查看器”，定 位到“自定義視圖”下的“Error Events (24 hours)”上，展開“操作”菜單選擇“刷新”命令，刷新完畢后就可以看到我們剛才自定義的事件，因為它符合 我們剛才創(chuàng)建的自定義視圖的篩選條件，同時也驗證了我們創(chuàng)建的自定義視圖是正確的。(圖 2)

3. 創(chuàng)建事件訂閱

以管理員身份登錄 server2 服務器，進入其“事件查看器”控制臺窗口。點擊其最下面 的“訂閱”項，此時會彈出一個對話框詢問我們是否要啟動“Windows 事件收集器服務”，點擊“是”啟動該服務。然后右鍵單擊“訂閱”在右鍵菜單中選擇“創(chuàng)建訂閱”命令彈出“訂閱屬性”對話框。在該對話框中進行設置：訂閱名稱為“MyApp Errors on server1”即來自服務器 server1 的系統(tǒng)錯誤事件; 單擊“源計算機”項下的“添加”按鈕彈出“選擇計算機”對話框，輸入 server1 將需要訂閱 事件日志的服務器添加進來，單擊“確定”返回到“訂閱屬性”對話框。在此，我 們可按照上面的方法添加多個服務器。添加完畢后，單擊下面右側的“測試”按鈕以驗證剛才 添加的服務器的有效性。如果彈出一個錯誤對話框，我們不用管單擊“確定”即可。之所以彈 出這個錯誤對話框，是因為 server1 上的 WimRM 沒有啟動并配置，我們后續(xù)進行配置即可。(圖 3)

返回到“訂閱 屬性”對話框，單擊“選擇事件”按鈕進入“查詢篩選器”對話框。在該對 話框中進行如下設置：設置“記錄時間”為“過去的 24 小時”，事件級別為“錯誤”，事件日志為“Windows 日志 \ 系統(tǒng)”，事件 ID 為“100”，設 置完畢后退出“選擇事件”對話框。在訂閱屬性”對話框，單擊“高級”按 鈕進入“高級訂閱設置”對話框。在該對話框中設置“用戶賬戶”為“具體 用戶”，然后單擊右側的“用戶和密碼”按鈕彈出“訂閱源的憑據(jù)”對話框。默認用戶名為 administrator，在下面輸入管理員的密碼即可。然后設置“事件傳遞優(yōu)化”方式為“最小化滯后時間”，協(xié)議和端口保持默認。*** 單擊“確定”退出“訂閱屬性”對話框，此時會彈出“事件查看”提升對話框告訴我們下一步的做法，單擊“是”退出即可。此時，從“事件查看器”控制臺的“訂閱”節(jié) 點中可以看見我們剛才創(chuàng)建的訂閱，不過卻顯示為一個紅色的驚嘆號，這是因為 server1 的 WimRM 沒有啟動 并配置。(圖 4)

4. 啟動并配置 WimRM

以管理員身份登錄服務器 server1，然后以管理員身份運行命令提示符，執(zhí)行命令“WINRM QuickConfig”快速配置 WinRM。命令執(zhí)行時，會提示 WindRM 客戶端會處于監(jiān)聽狀態(tài)，并且可穿越防火墻，詢問我們是否改變，屬于“y”并回車后 sever1 上的 WinRM 快速配置完畢。下面我們登錄日志服務器 server2 進行驗證，進入其“事件查看器”控制臺，右鍵單擊“訂閱”選擇右鍵菜單中的“刷新”命令，刷新完畢后，可以看到我們剛才創(chuàng)建的訂閱顯 示為綠色的對勾，表示已經(jīng)正常了。此外，我還可以進一步地進行驗證。登錄日志服務器 server2，然后 以管理員身份打開命令提示符，輸入命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D MyApp Encountered an error”，如果命令成功執(zhí)行說 明我們的配置無誤。這個命令行使用 eventcreate 命令在日志服務器 server2 上為 server1 創(chuàng)建一個事件日 志，其中參數(shù)“/S”指定目標服務器，test.com 是域名，server2 是服務器名。在 server2 的“事件查看器”控制臺中，依次展開“Windows 日志”→“轉發(fā)的事件”節(jié)點上，我們右鍵單擊該節(jié)點選擇“刷新”，可以在右側看到剛才創(chuàng)建的日志已經(jīng)轉 發(fā)成功。同樣的，我們登錄 server1 服務器，在事件查看控制臺中可看到剛才通過 server2 創(chuàng)建的日志。這 說明我們的配置是正確的。(圖 5)

5. 將任務附加到事件

將任務附加到事件這是一項非常有用的功能，我們可將任務和事件捆綁在一起，當事件發(fā)生時，會觸發(fā)一個任務。利用此功能我們可實現(xiàn)當某個事件發(fā)生時，運行一個程序或腳本，或者顯示一個警報，甚至發(fā)送一封電子郵件以通知管理員引起重視，一般采取相應的行動。本例中，我們就以觸發(fā)一個警報為 例。即當服務器 server1 上發(fā)生了我們定義的事件是，在日志服務器 server2 上會顯示一個警示對話框。具 體實現(xiàn)方法如下。

登錄日志服務器 server2，進入其“事件查看器”控制臺，定位到“Windows 日志”→“轉發(fā)事件”節(jié)點上，在右側的內容窗格中找到我們剛才 自定義的日志“MyApp Encountered an error”，右鍵單擊該日志選擇“將任務附加到 此事件”命令打開“創(chuàng)建基本任務向導”。在“創(chuàng)建基本任務”頁面，設置 名稱為“MyApp Error 100 Interactive Notification”; 在“操作”頁面設置“希望該任務執(zhí)行的操作”為“顯示消息”，消息的標題為“SERVER2 服務器 事件報告”，消息內容為“Server2 服務器發(fā)生了一個系統(tǒng)錯誤，請管理員馬上進行排錯!”，設置完成后退出該向導。此時會彈出一個提示對話框，我們“確定”即可。(圖 6)

6. 驗證日志報告

到這一步我們就完成了服務器間日志的訂閱和轉發(fā)，下面我們驗證一下效果。這項操作可以在服 務器 server2 上執(zhí)行，也可在日志服務器 server1 上執(zhí)行，我們就在服務器 server2 上驗證。驗證的思路是，在服務器 server2 上創(chuàng)建通過 EVENTCREATE 命令子定義并向服務器 server1 上轉發(fā)一個系統(tǒng)錯誤日志，然 后看看我們設置的事件警報會有什么反應。在服務器 server2 上以管理員身份運行命令提示符，然后執(zhí)行 命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D MyApp Encountered an error E”。命令執(zhí)行完畢后，看到彈出一個警告對話框，提示 Server2 服務器發(fā)生了一個系統(tǒng)錯誤，請管理員馬上進行排錯!”，而這正是我們剛才設置的警告框。可見，我們的試驗成功了。這樣，當服務器 server1 上如果有我們定義的事件發(fā)生時，管理員就會在日 志服務器上看到。

以上就是如何巧用轉發(fā)和訂閱集中管理服務器日志，丸趣 TV 小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注丸趣 TV 行業(yè)資訊頻道。