Jump to content

W2K8 R2 Event Log


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen

 

Auf Geheiss von NilsK ;), mache ich für das Thema einen neuen Thread. Da der andere schon recht alt ist.

 

Es geht darum, das neue Subscription Feature zu benutzen welches mit 2008 integriert wurde. Hat hier jemand eine gute Anleitung auf deutsch? oder Erfahrung damit, also schon mal gemacht?

 

Ich hab soweit alles schön eingerichtet, aber leider kommen die events nicht beim Collector an. Ich habe auf Collector und Source die "winrm" befehle abgesetzt, was auch soweit konfiguriert ist.

Auf dem Collector wurde übers GUI die zu empfangenden Events konfiguriert und woher diese kommen.

Auf der Source (ist ein DC) habe ich zusätzlich noch per gpedit den Collector angegeben.

Syntax ist ja dort:

"Server=FQDN"

oder

"Server=http(s)://<FQDN>/wsman/SubscriptionManager/WEC"

 

Ich weiss jetzt nicht ob mit oder ohne Anführungszeichen aber hab beides ausprobiert und es funktioniert nicht. Einzig HTTPS habe ich nicht getestet, aber ich denke es müsste auch so gehen, ausser ihr sagt mir jetzt was anderes ;).

 

Natürlich gäbe es als Alternative LogParser, aber ich würds gern über diese Option lösen.

 

Danke für die Hilfe im Voraus

 

Gruss Andreas

Link zu diesem Kommentar

Moin,

 

ich hab's mal im Labor gemacht, und es ging auf Anhieb. Grundsätzlich funktioniert es also. ;)

 

Zum konkreten Troubleshooting kann ich aktuell wenig beitragen (weil es eben direkt ging), aber schau doch mal diese Liste durch:

 

windows 2008 event subscription - Google-Suche

 

Allgemein aber noch der Hinweis: Die Subscription nützt dir nur in Umgebungen, die mindestens Windows Server 2008 einsetzen. Und: Unterschätze in einer großen Umgebung nicht den Traffic, der daraus entsteht.

 

Gruß, Nils

Link zu diesem Kommentar

Moin zurück ;),

 

Danke für die schnelle Antwort.

 

Kannst du dich noch erinnern ob du die Einträge mit oder ohne Anführungszeichen gemacht hast?

 

Der Forest oder Domainlevel hat aber keinen Einfluss auf das ganze?!

 

Nach welcher Anleitung hast du die Konfiguration durchgeführt?

 

Ok danke für den Hinweis, ist der Traffic mit LogParser kleiner? ich leite ja nur die crits und warnings weiter. Hmm jetzt hast mich nachdenklich gemacht... dachte die Lösung sei eher schlanker..

 

Gruss Andreas

Link zu diesem Kommentar

Moin,

 

Log Parser ist dafür ja keine fertige Lösung. Die müsstest du dir schon noch bauen.

 

Dieser Ansatz hier kopiert z.B. nur in definierbaren Intervallen die Daten übers Netz - allerdings ohne Optimierung als Klartext, d.h. in großen Umgebungen und/oder bei vielen Events kann der Traffic durchaus größer ausfallen:

faq-o-matic.net Windows-Ereignisse mit Log Parser berwachen

 

Worauf ich nur hinweisen wollte: Die Subscription ist klasse, aber sie hat a) ihre technischen Grenzen und ist b) nur dann sinnvoll, wenn dahinter auch Prozesse zum Log Management stehen, die diese Quasi-Echtzeit-Auswertung auch benötigen und sinnvoll damit umgehen. Für sporadische Log-Auswertungen würde ich andere Lösungen vorziehen.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo,

 

Ja ich bin öfter auf faq o matic unterwegs und versuche mir gerade über diese "Anleitung" was zu bauen. **** ist halt wenn man das ganze nicht in Testumgebung bauen kann, sondern gleich auf den Live servern.

 

Problem ist halt das auch nur ein Bruchteil unserer zu überwachenden Server w2k8 ist. Das ist auch der Grund wieso ich mich jetzt mit Log Parser beschäftige..

 

Wie auch immer, danke dir für deine Anregungen

 

Gruss Andreas

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo Nilsk,

 

Ich habe Logparser, mal testweise auf 2 servern installiert (Client/Host).

 

Nun bekomme ich HTML file keine Logs ausgegeben.

 

Ich habe mir das Script mal in der CMD anzeigen lassen (pause zu letzt on), nun bekomme ich ganz am Anfang einen error (siehe fehlermeldung):

 

-------------------------------------------------------------------------

Creating the faq-o-matic.net Error Report

Merging data ...

processing \\server\logparser$\member\server-EventCollector.txt

Copying memberevents.txt to "\\server\logparser$\member"

The process cannot access the file because it is being used by another process.

0 file(s) copied.

1 file(s) copied.

Creating Report: Number of Events in the Last 24 Hours ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

Execution time: 0.05 seconds

 

'sleep' is not recognized as an internal or external command,

operable program or batch file.

Creating Report: Repeated Events of the Last Week ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

Execution time: 0.05 seconds

 

'sleep' is not recognized as an internal or external command,

operable program or batch file.

Creating Report: Events of the Last Hour ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

Execution time: 0.03 seconds

 

'sleep' is not recognized as an internal or external command,

operable program or batch file.

Creating Report: Events of the Last 24 Hours ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

Execution time: 0.03 seconds

 

'sleep' is not recognized as an internal or external command,

operable program or batch file.

1 file(s) copied.

Finished.

Press any key to continue . . .

-------------------------------------------------------------------------

 

Ist das normal? Fällt dir dazu was ein? Oder wurde bloss keine events geloggt, welche relevant sind? Aber wieso wurde sie dann ins .txt geschrieben?

 

Besten Dank für deine Hilfe im Voraus

 

Gruss Andreas

Link zu diesem Kommentar

Moin,

 

**** ist halt wenn man das ganze nicht in Testumgebung bauen kann, sondern gleich auf den Live servern.

 

dazu pflege ich zu sagen: Es gibt keine Kunden ohne Testumgebung. Es gibt aber viele Kunden ohne Produktionsnetzwerk.

 

Oder deutlicher: Wer Tests im Produktionsnetzwerk durchführt, handelt grob fahrlässig!

 

Copying memberevents.txt to "\\server\logparser$\member"

The process cannot access the file because it is being used by another process.

 

Das sieht nach einem Timing-Problem aus, könnten aber auch Berechtigungen oder sowas sein. Das solltest du klären, denn hier geschieht genau der entscheidende Schritt, weil die Events der beteiligten Server zusammengefügt werden. Und ohne Events keine Auswertung ...

 

'sleep' is not recognized as an internal or external command,

operable program or batch file.

 

Hm, da hab ich wohl beim Batch-Bauen was übersehen. Scheint, dass in der Originalumgebung ein externer Sleep-Befehl dabei war. Muss ich mal ändern, denn das Sleep soll Timing-Probleme umgehen.

 

Behelfen kann man sich, indem man das "sleep" jeweils ersetzt durch:

ping -n 3 localhost>nul

Dabei die 3 durch die Zahl der Sekunden ersetzen, die man warten will.

 

Creating Report: Repeated Events of the Last Week ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

 

Bedeutet: In den 40 verarbeiteten Events sind keine Wiederholungen. Also auch kein Ergebnis.

 

40 Events sind aber sehr wenig - das deutet darauf hin, dass in der Tat ganz am Anfang die Ausgangsdateien nicht kopiert wurden.

 

Gruß, Nils

Link zu diesem Kommentar

Danke für die schnelle Antwort.

 

Sehr Cool was du da zusammegebaut hast..

 

dazu pflege ich zu sagen: Es gibt keine Kunden ohne Testumgebung. Es gibt aber viele Kunden ohne Produktionsnetzwerk

 

Merk ich mir :)

 

 

Das sieht nach einem Timing-Problem aus, könnten aber auch Berechtigungen oder sowas sein. Das solltest du klären, denn hier geschieht genau der entscheidende Schritt, weil die Events der beteiligten Server zusammengefügt werden. Und ohne Events keine Auswertung ...

 

Hmm, Ich habe diesen Fehler immernoch, aber so wies scheint, klappt jetzt alles.

 

 

Behelfen kann man sich, indem man das "sleep" jeweils ersetzt durch:

 

Code:

ping -n 3 localhost>nulDabei die 3 durch die Zahl der Sekunden ersetzen, die man warten will.

 

funktioniert wunderbar..

 

 

 

Noch eine Frage zur Funktion, welche Daten werden aus dem "eventvwr" gelesen? Was mir jetzt aufgefallen ist, dass sämtliche Meldungen aus dem System fehlen.. Ist das so? Wenn ja, wie erweitere ich das am besten?

 

Hab ich mir gerade selber beantwortet :)

 

Danke für die Hilfe

 

Gruss Andreas

bearbeitet von Imortale
Link zu diesem Kommentar

Hallo Nils

 

Jo, da war ich. Was ich gefunden habe ist SourceName. Nur dreht sich bei mir noch ein logisches Problem im Kopf.

Was würdest du eher machen, die gesamten Logs übertragen lassen, mergen, dann in einem zwischenschritt filtern und letzter Schritt dann das Htm-file erstellen?

Oder andersherum bereits beim Server selber Filtern und die Daten wie anhin verarbeiten. Ist sicher einfacher, nur laufen dann teilweise bis zu 6 Task auf einem Server, was ich unschön finde.

 

Grund für das ganze ist, dass ich einmal das ganze eventlog brauche und dan zusätzlich noch gewisse Server gruppen zusammengefasst..

 

Gruss Andreas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...