Vista 開始日誌管理有了很大改變,有很多方便的應用,比如增強了過濾器,增加了應用程序和服務日誌類別,啓用Analytic 和 debug 日誌,甚至可以根據特定日誌來觸發一個計劃任務
最方便的還是可以輕鬆查看多臺計算機上的日誌,2003中,我們也可以使用事件日誌查看器連到特定的機器上進行查看,但同時查看多臺機器還不是很方便。Vista,2008中可以同時訂閱多臺機器的日誌,以便查看。
下面的例子中,源計算機爲John-PC,收集日誌的計算機爲 Ex666, 我們要在Ex666 上查看 john-pc 上的日誌。
1. 在所有源計算機上運行下面的命令
winrm quickconfig
注:這個步驟是允許此計算機接收 WS-Management 請求,除了啓動 WinRM 服務外,它還在防火牆上創建允許WS-Management的例外, 並允許此服務偵聽特定端口。
2. 在收集日誌計算機 Ex666上運行命令 (需要提升權限)
wecutil qc
3. 把 Ex666 添加到John-PC 的本地管理員中
4. 打開 Ex666 上的 Eventvrw.msc, 創建一個訂閱.
創建一個新的訂閱:
Destination log 的意思就是說,你準備把John-PC上收集來的日誌放到本地的哪個日誌中,默認是 Forwarded Events, 這個日誌是 Vista 以後新加的,專門用來存放轉存來的日誌文件。
Collector initiated 和 Source computer initiated,一個是從源計算機拉,一個是源計算機主動推,如果設定Source computer initiated, 就可以不必指定源計算機,我們會設定組策略,源計算機會自動把事件轉發給收集者。
這裏選 Collector initiated, 選擇計算機
然後選擇你要收集的日誌,或者進行高級設定,然後點擊 OK,要保證訂閱的狀態時活動的。
經過一段時間,我們就可以在本地看到遠程計算機的日誌了。
如果有多個服務器,我們可以利用這點來收集一些警告和錯誤日誌,監視多個服務器。