如何構建windows日誌收集伺服器

以前我在講MCITP課程時，經常會提到事件記錄查看這項Windows 產品內建的功能，但是總感覺如果企業規模小，伺服器數量少的話，那麼管理員登入到每台伺服器查看報錯日誌還可以，但是當我在營運過程中發現隨著伺服器數量的不斷增加，管理員再去一台一台登入伺服器查看相關報錯日誌，可能就有些不便了，那麼有沒有一種更好地辦法能讓管理員登入一台伺服器就可以查看到所有伺服器的日誌報錯呢？

其實辦法還是有的，但是在提解決辦法前呢，還是不得不說一說Windows 事件記錄，在Windows server 2008 伺服器包括以下兩個類別的事件記錄：Windows 日誌和應用程式和服務日誌，這兩種日誌是最為基本也是最為典型的日誌分類，但是僅僅查看這些日誌對於營運人員來說，還是不能夠滿足的，就單單來說網域控制站吧，我們營運過程中就需要關注這幾個東東：

1、活動目錄服務(Active Directory Web Services)

2、DFS Replication

3、目錄服務、硬體事件

4、DNS伺服器

那麼在Windows server 2008 提供從多台遠端電腦收集事件的副本並將其儲存在本地的功能。要想實現此功能需要建立事件訂閱。這裡我們所提到的訂閱功能確切地說就是，指定將收集哪些事件以及將其儲存在本地的哪個日誌中。啟用訂閱並收集事件後，所有被訂閱伺服器就會將預定義的報錯資訊發向指定的收集伺服器，這樣就可以像對任何儲存在本地的其他事件那樣查看和操作這些轉寄的事件，這個功能我覺得還不錯，至少還是系統內建還免費嘛，Be right back。

接下來我們就來看看如何配置電腦以轉寄和收集事件。

1、首先呢，要實現事件記錄訂閱功能必須配置收集電腦（收集器）和每台將從其收集事件的電腦（源），然後才能建立訂閱來收集電腦上的事件。

2、以管理員身份登入到所有源電腦。

3、在每台源電腦上，以管理員身份運行命令提示字元並運行下圖所示命令：

4、以管理員身份登入收集Log Service器，並以管理員身份運行命令提示字元，輸入如下命令：

5、將收集器電腦的電腦帳戶添加到每台源電腦上的本機系統管理員群組中；

至此呢，我們就完成了相關準備前工作了。

接下來，我們就簡單來看看如何完成相關訂閱操作：

1) 在收集電腦上，以管理員身份運行事件檢視器，如下圖所示；

2) 在控制台中單擊“訂閱”節點；

3) 在“操作”菜單上，單擊“建立訂閱”；

4) 在“訂閱名稱”框中，鍵入訂閱的名稱，在“目標日誌”框中，選擇要儲存所收集事件的記錄檔，預設會將這些收集到的日誌儲存在“轉寄事件”中；

5) 單擊“添加”，然後選擇要從中收集事件的電腦，本例中，我們由於只收集PEK1-DCS-01這台域控的日誌，則只要添加此電腦即可，添加完成後，單擊“測試”按鈕，查看串連狀態，如下圖所示；