轻松构建windows 日志收集服务器

191145685

　　以前我在讲MCITP课程时，经常会提到事件日志查看这项Windows 产品自带的功能，但是总感觉如果企业规模小，服务器数量少的话，那么管理员登录到每台服务器查看报错日志还可以，但是当我在运维过程中发现随着服务器数量的不断增加，管理员再去一台一台登录服务器查看相关报错日志，可能就有些不便了，那么有没有一种更好地办法能让管理员登录一台服务器就可以查看到所有服务器的日志报错呢？
　　其实办法还是有的，但是在提解决办法前呢，还是不得不说一说Windows 事件日志，在Windows server 2008 服务器包括以下两个类别的事件日志：Windows 日志和应用程序和服务日志，这两种日志是最为基本也是最为典型的日志分类，但是仅仅查看这些日志对于运维人员来说，还是不能够满足的，就单单来说域控制器吧，我们运维过程中就需要关注这几个东东：
　　1、活动目录服务(Active Directory Web Services)
　　2、DFS Replication
　　3、目录服务、硬件事件
　　4、DNS服务器
　　那么在Windows server 2008 提供从多台远程计算机收集事件的副本并将其存储在本地的功能。要想实现此功能需要创建事件订阅。这里我们所提到的订阅功能确切地说就是，指定将收集哪些事件以及将其存储在本地的哪个日志中。激活订阅并收集事件后，所有被订阅服务器就会将预定义的报错信息发向指定的收集服务器，这样就可以像对任何存储在本地的其他事件那样查看和操作这些转发的事件，这个功能我觉得还不错，至少还是系统自带还免费嘛， 。
　　接下来我们就来看看如何配置计算机以转发和收集事件。
　　1、首先呢，要实现事件日志订阅功能必须配置收集计算机（收集器）和每台将从其收集事件的计算机（源），然后才能创建订阅来收集计算机上的事件。
　　2、以管理员身份登录到所有源计算机。
　　3、在每台源计算机上，以管理员身份运行命令提示符并运行下图所示命令：

　　4、以管理员身份登录收集日志服务器，并以管理员身份运行命令提示符，输入如下命令：

　　5、将收集器计算机的计算机帐户添加到每台源计算机上的本地管理员组中；
　　至此呢，我们就完成了相关准备前工作了。
　　接下来，我们就简单来看看如何完成相关订阅操作：
　　1) 在收集计算机上，以管理员身份运行事件查看器，如下图所示；
　　2) 在控制台中单击“订阅”节点；
　　3) 在“操作”菜单上，单击“创建订阅”；
　　4) 在“订阅名称”框中，键入订阅的名称，在“目标日志”框中，选择要存储所收集事件的日志文件，默认会将这些收集到的日志存储在“转发事件”中；

　　5) 单击“添加”，然后选择要从中收集事件的计算机，本例中，我们由于只收集PEK1-DCS-01这台域控的日志，则只要添加此计算机即可，添加完成后，单击“测试”按钮，查看连接状态，如下图所示；

　　6) 单击“选择事件”，如下图所示；

　　7) 在下图所示的“查询筛选器”，在“筛选器”选项卡中，事件级别处勾选“警告”和“错误”，在“按日志”处选择下图所示内容（由于仅是测试，真实环境下，根据需求选择）；

　　8) 在“订阅属性”对话框上单击“确定”。订阅将添加到“订阅”窗格中，因此，如果操作成功，订阅的状态将为“运行中”，如下图所示；

　　在事件查看器中的“转发事件”中可以看到已经收到了PEK1-DCS-01所转发来的事件日志，但是由于新做的测试环境只有一条记录，

　　在前面的基本订阅配置中我们会发现日志订阅服务器虽然实现了我们需要的订阅功能，但是其事件日志选择时并无任何域控相关的服务日志选项，那么我们是否需要每收集一个服务器我就要在这台日志服务器上安装相关角色，这在IT管理中是不可以的，因为我们安装日志服务收集服务器的初衷是希望该服务器只运行单一的日志收集功能。
　　鉴于上述需求，我们如何在不安装额外的角色而依然能收集我们所需要的服务日志呢？这就是我们在接下来操作中需要测试的，测试的思路是提取域控制器中的事件订阅日志XML，在这个XML中需包含域控中服务日志。
　　1) 确定日志收集信息
　　收集这些信息，我们将采用修改XML文件的方式进行操作，域控制器日志收集将主要收集下图所示勾选的角色功能日志，当然这个需要你在DC上生成XML；
　　2) 生成XML代码文件
　　在域内任一台DC上勾选上图所示信息后，在“XML”选项卡中将自动生成对应的XML文件，此时复制完成XML代码后单击“取消”，如下图所示；

　　3) 配置标准收集
　　安装一台专门用于日志订阅的服务器，将默认日志订阅中的XML代码文件替换为标准XML文件以实现订阅信息的统一与一致性，如下图所示；

　　这样我们就要以在一台日志服务器上集中收集所有域控制器的重要日志信息了，感觉挺方便的，