lunes, 25 de julio de 2016

WINDOWS. Suscripciones y envío de eventos (Event Subscriptions - Forwarding)


En este post explicaré como configurar un servidor centralizado de eventos de Windows y como configurar un cliente para que envíe sus eventos.

Esta configuración da un montón de posibilidades para tener una mejor visión de lo que está ocurriendo en nuestros servidores.


Alta de los hosts

 [SERVIDOR] Configurar el Servidor que centralizará los log (Collector)

 Abrir un cmd como administrador y ejecutar: Wecutil qc


[CLIENTE] Configuramos el cliente (Source)


Configuración de los hosts

[CLIENTE] Abrimos el Server Manager en el cliente.

Añadimos en el servidor cliente (Source) al grupo administradores locales la máquina a la que se enviarán los logs (Collector)


[SERVIDOR] Configuración del Servidor de log (Collector)

Abrimos el visor de eventos (eventvwr) y hacemos lo siguiente:



Ponemos un nombre y una descripción


Añadimos los servidores que queremos centralizar en “Select Computers…”:



Desde el menú de "Select Events..." especificaremos que eventos nos interesa que nos reenvíen los clientes



Al salir veremos que todo ha ido OK


La manera de comprobar que está funcionado es en la pestaña "Forwarded Events"


Habría que preparar el "Forwarded Events" para recibir un gran volumen de información:



Si queremos optimizar o cambiar de puertos


Más Info: 
GoN. Jul2016