事件日志管理是服务器维护中的一项非常重要的日常工作,当然也是一项耗费精力、体力的工作,特 别是当局域网中有非常多的应用服务器时更是如此。一个好的管理方案是,部署一个专门用于事件日志管 理的中央服务器,然后将其他服务器上的日志转发到该中央服务器上实施集中管理。不过,这需要利用第 三方软件来实现。在Windows Server 2008中提供了一项新功能,通过它我们可以实现服务器事件日志的 转发和订阅,就可以自定义将特定的服务器事件日志集中起来管理了。下面笔者部署环境,对此进行实例 演示。
环境描述:
本文以域环境为例进行演示,有两台服务器:一台为server1,作为源 服务器,以转发日志到日志服务器;一台为server2,作为日志服务器,以订阅源服务器上转发的日志。
任务目标:
将server1服务器过去的24小时内ID为100的错误系统日志实时转发到日志服务 器server2中,并且一旦server1上有符合设定的日志,在server2上会以消息框的形式通知管理员。
实现过程:
1.创建自定义视图
以管理员身份登录server1服务器,依次单击 “开始”→“运行”,输入eventvwr.msc打开“事件查看器”窗口 。在左窗格中点击选中“自定义视图”,然后点击展开“操作”菜单选择“ 创建自定义视图”命令。在“创建自定义视图”向导窗口的“筛选器”标签 页中,设置“记录时间”为“过去的24小时”,“事件级别”为 “错误”,“事件日志”为“系统”。设置完毕后单击“确定 ”退出,在弹出的“将筛选器保存到自定义视图”对话框中,我们为视图命名为 “Error Events (24 hours)”,然后“确定”退出。这样可以在“自定义视 图”下看到刚才创建的名为“Error Events (24 hours)”的视图。(图1)
