Eventlog Forwarding: Angeforderte HTTP-URL nicht verfügbar

[basstscho 10]

Hallo zusammen,

 

ich würde gerne in unserer Domänen-Umgebung die Windows-Logfiles zentral auswerten. Dazu habe ich auf einem Server 2022 (srv-win02) den WEC konfiguriert und möchte gerne von einem Client (ts12) die Logs per push einsammeln: Client->Server (HTTP).

 

Ich hab mich dabei an mehrere Tutorials gehalten, die im Endeffekt alle das gleiche Vorgehen beschreiben - sah für mich nach einer 10 Minuten-Aktion aus. Das zieht sich nun schon deutlich länger und ich scheitere leider mit folgender Fehlermeldung auf dem Client:

Ereignis-ID 105:

Bei der Weiterleitung ist beim Kommunizieren mit dem Abonnement-Manager unter der Adresse "http://srv-win02.x.local:5985/wsman/SubscriptionManager/WEC" ein Problem aufgetreten. Fehlercode: 2150859027, Fehlermeldung: <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="2150859027" Machine="ts12.x.local"><f:Message>Der WinRM-Client hat eine Anforderung an den Remote-WS-Verwaltungsdienst gesendet und eine Antwort erhalten, in der gemeldet wurde, dass die angeforderte HTTP-URL nicht verfügbar ist. Diese Meldung wird normalerweise von einem HTTP-Server zurückgegeben, der das WS-Verwaltungsprotokoll nicht unterstützt. </f:Message></f:WSManFault>.

 

Was hab ich getestet:

- Firewall auf dem Server ist deaktiviert

- Dienste laufen

- Konfiguration mehrfach geprüft und neu gesetzt

- Server und Client mehrfach neugestartet

 

Ich finde keinen offensichtlichen Fehler in der Konfiguration. Das einzig auffällige aus meiner Sicht: Wenn ich mich vom Client aus über "winrm id" auf den server verbinde, wird der Zugriff verweigert. Wenn ich mich als lokaler administrator (vom Server) gegen den server authentifiziere, hab ich den Zugriff, Diesbzgl. hab ich aber keine Erwähnung in den Tutorials gefunden und leider auch keine Referenz zum Vergleich.

 

Die Gruppe "x-EventCollector" enthält das Computer-Konto des Clients.

Übersehe ich irgendwo etwas grundlegendes? Oder wird der Zugriff ggf. auf Grund einer anderen Sicherheitseinstellung limitiert, die irgendwo gesetzt sein könnte? Habt ihr einen Tipp, wie ich Ursache noch eingrenzen könnte?

 

Danke und Grüße,

Johannes

 

 

 

bearbeitet vor 2 Stunden von basstscho
Vertipper

[Dukel 468]

Persönlich würde ich mir ein Eventlog Management Tool (Grafana Loki, ELK Stack, Graylog, etc.) anschauen, statt dies mit Windows Bordmitteln zu machen.

Diese Tools lassen die Eventlogs viel besser auswerten, wie im Windows Eventlog. Außerdem können dort andere Eventlogs mit eingepflegt werden (Linux, Netzwerk Devices, Firewalls, Security Devices, etc.).