事件日誌轉發:源啟動不適用於桌面
我已經成功地為收集器啟動了 2 個訂閱,它們正在轉發事件。現在我正在嘗試添加第三個訂閱以獲取我所有桌面的日誌,因此由於它們的數量,我正在使用源啟動來使用組。我假設我可以同時啟動收集器和源?通過許多故障排除文章和論壇,我檢查了服務(WinRM、事件轉發)是否通過我的測試桌面上的 GPO 下推。服務(Win 事件日誌收集器)位於收集器伺服器上。看起來 Windows 防火牆規則在所有電腦上,即使防火牆已關閉。訂閱管理器的 GPO 看起來不錯。我的訂閱都帶有綠色複選標記。
我的主要測試是執行: EventCreate /T ERROR /ID 101 /L APPLICATION /SO TEST /D “這只是一個綜合事務測試。忽略這個事件。”
我已經從伺服器執行它並且我看到它(收集器啟動),我已經在 Win7 和 Win10 桌面上執行它。兩個桌面都不能轉發事件。我在另一個論壇上看到有人談論堆棧 2.0 和 3.0,具體取決於收集器是伺服器 2008 還是伺服器 2012。我使用的是伺服器 2012。我在兩個桌面上執行了 winrm id,win7 是堆棧 2.0,win10 是堆棧 3.0。由於兩個桌面都不能轉發事件,我假設這不是問題。
我已經從收集器伺服器執行了 winrm id -remote:computername -auth:none 並得到了響應。我缺少任何故障排除步驟嗎?我可以執行任何命令來檢查兩台機器的通信嗎?是否有從桌面執行到收集器的測試?
嘗試在收集器伺服器 2012 上執行 winrm qc 會給出結果:C:\Users\richard>winrm qc WinRM 服務已在此電腦上執行。WSManFault Message = 客戶端無法連接到請求中指定的目標。驗證目標上的服務是否正在執行並且正在接受請求。請查閱在目標(最常見的是 IIS 或 WinRM)上執行的 WS-Management 服務的日誌和文件。如果目標是 WinRM 服務,在目標上執行以下命令來分析和配置 WinRM 服務:“winrm quickconfig”。錯誤號:-2144108526 0x80338012 客戶端無法連接到請求中指定的目的地。驗證目標上的服務是否正在執行並且正在接受請求。請查閱在目標(最常見的是 IIS 或 WinRM)上執行的 WS-Management 服務的日誌和文件。如果目標是 WinRM 服務,在目標上執行以下命令來分析和配置 WinRM 服務:“winrm quickconfig”。
最後,掃描埠 5985 發現伺服器在環回 IP ‘127.0.0.1’ 上偵聽此埠,但不是在所有介面上都應有。並執行命令“netsh http show iplisten”在 HTTP 的偵聽地址中顯示環回 IP 地址:IP 偵聽列表中存在的 IP 地址:——– ———————— 127.0.0.1 所以伺服器只在環回介面上監聽 HTTP 請求。所以我執行命令’netsh http delete iplisten 127.0.0.1’來刪除它。在那之後,一切都開始工作了。