¿Qué es un registro de destino válido para el reenvío de eventos de Windows?

8

Me encuentro con un problema al intentar usar un diario de registro personalizado para almacenar eventos reenviados (mediante suscripción) en un servidor Windows 2008 R2, y el registro personalizado se describe como un "registro de destino válido".

Actualmente estoy configurando una arquitectura para centralizar eventos de Windows utilizando las capacidades incorporadas de reenvío y recopilación de eventos (a través de WS-management y wecutil).

Uno de mis requisitos es poder crear varias suscripciones en la máquina recopiladora y almacenar eventos reenviados en diferentes archivos de registro. Para eso, probé creando un registro personalizado (llamado CustomLog). Este registro aparece en el Visor de eventos, en la categoría "Registros de aplicaciones y servicios".

Sin embargo, no puedo redirigir eventos reenviados a este CustomLog. CustomLog no aparece en la lista de posibles destinos al crear una suscripción en la interfaz de usuario del Visor de eventos.

Para probar lo que podría estar mal, lo dejé con los ForwardEvents predeterminados como destino e intenté cambiarlo a través de Powershell. Ejecuté el siguiente comando, que se supone que establece el registro de destino como CustomLog:

wecutil ss "Collect from both sources" /lf:CustomLog

Funcionó sin error. Sin embargo, no se registran eventos en CustomLog, y cuando vuelvo a la GUI para crear / modificar suscripciones e intento abrir la suscripción que configuré, aparece una ventana emergente que indica lo siguiente:

El registro de destino definido en esta suscripción no se puede encontrar en la lista de registros de destino válidos en esta computadora. verifique que este registro exista en la computadora y que sea válido como destino para los eventos reenviados. Tenga en cuenta que los registros clásicos, los registros analíticos y de depuración y el registro de seguridad no se pueden usar como destino.

¿Alguien sabe qué es un "registro de destino válido" y cómo podría convertir mi CustomLog en un destino tan válido?

MikeSec
fuente

Respuestas:

1

El siguiente blog de Microsoft detalla los pasos para crear archivos de registro separados. De hecho, puede crear cualquier cantidad de archivos de registro. Acabo de completar los pasos y puedo confirmar que funciona en Windows 10.

Crear registros personalizados de reenvío de eventos de Windows

Yendo un paso más allá, el siguiente blog de Microsoft me pareció útil para configurar una arquitectura escalonada.

Monitoreo de clientes de bricolaje: configuración del reenvío de eventos por niveles

usuario2320464
fuente
0

wecutil permite utilizar un archivo XML para proporcionar información de configuración. Puede intentar colocar CustomLog como destino de destino.

Ver https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Contiene un archivo XML de muestra que puede usar

Consulte también https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event- colector-fuente-iniciado? foro = winservergen

Esto sugiere que puede no ser posible, pero ofrece la solución XML como una opción, pero sin ninguna confirmación de éxito.

47cloud
fuente