Criando Encaminhamento de Event Viewer no Windows 2008 / R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

event-viewer-icon

 

Nesse artigo irei explicar o procedimento em uma funcionalidade muito interessante no Windows Server 2008 e R2, o Event Viewer Subscription, através dessa funcionalidade podemos centralizar em um único servidor os Logs de Eventos dos meus servidores / computadores do nosso ambiente, podendo assim ter um gerenciamento e monitoramento mais simples do que ter a necessidade de acessar um determinado servidor para analisar os logs.

Para esse cenário usarei 2 Domain Controllers do domínio “suportederede.local”, no qual DC02 será a máquina que disponibilizará os logs para serem acessados pelo DC01 que será a máquina “coletora” dos logs.

HABILITAR O WINDOWS REMOTE MANAGEMENT 1- No DC02 (Máquina que irá gerar os logs) abra o prompt de comando e digite winrm quickconfig em seguida pressione ENTER. Verifique que será aberta uma exceção no firewall e o serviço habilitado, confirme pressionando Y e depois em ENTER.

2- Você receberá uma mensagem de confirmação, após isso pode-se fechar o prompt.

ATRIBUIR PERMISSÃO AO SERVIDOR 3- Em seguida, ainda no DC02 precisaremos definir qual computador terá acesso aos logs, para isso abra o “Active Directory users and Computers” e localize o grupo “Event Log Readers“.

4- Após duplo clique em “Event Log Readers”, selecione a aba “Members“, clique em “Add“, e depois em “Object Types“, marque a opção “Computers” e confirme com “OK

5- Digite o nome do servidor que será o “coletor”, no nosso caso o DC01 e depois em “Check names“. Confirme no “OK“. ATENÇÃO: Caso o servidor não seja um Domain Controller abra o “Computer Management” e adicione o computador ao grupo “Administrators” seguindo o procedimento acima.

6- Nas propriedades do “Event Log Readers” o servidor “coletor” será apresentado, clique em “OK” e pode fechar o “Active Directory Users and Computers”.

CONFIGURANDO O SERVIDOR COLETOR E CRIANDO UM SUBSCRIPTION 7- No DC01 (servidor que irá coletar os logs), abra o prompt de comando e digite wecutil qc e pressione ENTER. Confirme pressionando Y e ENTER.

8- Em Ferramentas Administrativas abra o “Event Viewer”, navegue até a guia “Subscriptions“, clique com o botão direito e depois em “Create Subscription“.

9- Em “Subscription Properties” você deverá selecionar as particularidades dessa nova subscrição, digite um nome e uma descrição. Em “Destination Log”, mantenha selecionado “Forwarded Events“.

10- Clicando em “Select Computers”, podemos selecionar os computadores que disponibilizarão logs conforme passos configurados anteriormente.

11- Clique em “Add Domain Computers“, em seguida digite o nome do computador / servidor e depois em “Check Names“. Confirme pressionando “OK“.

12- Em seguida clique em “Test” para verificar a conectividade. Caso tenha problemas, verifique os procedimentos anteriores.

13- Voltando em “Subscription Properties” clique agora em “Select Events“. Em “Event level” podemos selecionar o nível do evento a ser acompanhado, a nível de teste manteremos TODOS os logs. Em “Event logs” podemos selecionar qual tipo de log a acompanhar, também vamos manter TODOS. Essa opção de filtro é bem interessante pois podemos filtrar o log pelo seu ID / palavras chave, atendendo de todas as formas as nossas possíveis necessidades.

14- Confirme a subscrição clicando em “OK“.

15- Clique com o botão direito sobre a subscrição e clique em “Runtime Status“. Você verá o status da mesma, sendo possível desabilitar ela.

TESTANDO A FUNCIONALIDADE 16- Vamos forçar o o DC02 a ter ações que movimentem os arquivos de log, um bom exemplo é parar / iniciar serviços, vamos exemplificar parando e iniciando o serviço “netlogon”. Abra o prompt e digite net stop netlogon e após um tempo net start netlogon.

17- Aguarde um pouco para que haja a coleta dos logs e verifique no Event Viewer do coletor (DC01) na opção “Forwarded Events”. veja que os dois logs (stop /start do netlogon) estão sendo apresentados, proveniente do computador DC02.suportederede.local).

Abraços a todos e espero que tenham gostado e que seja útil no ambiente de vocês

Uma resposta em “Criando Encaminhamento de Event Viewer no Windows 2008 / R2

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s