Takouine

V. Serveur collecteur : créer un abonnement

Dernière étape de la configuration : la création d’un abonnement pour récupérer les journaux du serveur SCORC depuis le serveur WIN12DC. On se connecte sur le serveur collecteur, et on accède à la console Observateur d’événements.

Sur la gauche, vous trouverez une section “Abonnements“, effectuez un clic droit dessus puis “Créer un abonnement“.

windows-observateur-evenements-abonnement-8-730x168

Un message d’avertissement s’affiche quant au service “Collecteur d’événements Windows” qui n’est pas démarré ni exécuté. Cliquez sur “Oui” pour initier le démarrage.

windows-observateur-evenements-abonnement-2

 

Il faut maintenant configurer l’abonnement, donnez-lui un nom par exemple le nom du serveur si l’abonnement est global au serveur. N’hésitez pas à mettre un nom précis si vous envisagez d’avoir une multitude d’abonnements. Remplissez la description également pour en savoir un peu plus sur cet abonnement.

Pour la destination des événements, vous devez sélectionner le journal de destination sur le collecteur. Le journal “événements transférés” semble le plus adapté et est conçu pour cela. Néanmoins, vous pouvez choisir un autre journal pour mélanger les événements transférés avec les événements locaux. Les vues personnalisées pourront ensuite permettre de dissocier les serveurs.

Pour le type d’abonnement, il y a deux choix, soit c’est le collecteur qui fournit l’abonnement aux ordinateurs sources, soit c’est les ordinateurs sources qui vont venir chercher la configuration auprès du collecteur (ceci nécessite une GPO particulière).

Pour ma part, je choisis d’initier depuis le collecteur, il faut alors que j’indique le serveur ciblé (ou les serveurs…) par cet abonnement. Cliquez sur “Sélectionner des ordinateurs” puis il faut ajouter le serveur source à la liste, comme “SCORC.labo.fr“.

windows-observateur-evenements-abonnement-3-730x527

 

Pour le champ “événements à recueillir” on doit indiquer les événements que l’on souhaite récupérer sur le serveur source. Attention, il ne faut pas sélectionner trop de journaux sinon ça risquerait de représenter une charge trop importante.

Pour ceux qui connaissent, cette fenêtre est identique à celle que l’on configure lorsque l’on crée une vue personnalisée. Utilisez les différents champs pour effectuer votre sélection.

Il est à noter qu’il n’est pas obligatoire de récupérer tous les événements d’un serveur, on peut filtrer comme on le souhaite. Par exemple, on pourrait imaginer récupérer uniquement les événements dont l’ID est 5000.

 

windows-observateur-evenements-abonnement-4-730x353

 

Si vous choisissez trop de journaux, vous obtiendrez l’avertissement suivant :

 

windows-observateur-evenements-abonnement-5

 

Enfin, cliquez sur “Avancé” en bas à droite de la fenêtre de propriétés de l’abonnement. On laissera “Compte d’ordinateur” puisque c’est à lui que l’on a donné les droits sur le serveur source. Par ailleurs, par défaut le protocole HTTP via WinRM est utilisé, si vous souhaitez protéger les flux de transferts sélectionnez “HTTPS”. Ceci implique que WinRM soit configuré correctement pour communiquer en HTTPS.

 

windows-observateur-evenements-abonnement-6

 

Validez la création de votre abonnement qui devrait apparaître dans la liste des abonnements sur le collecteur :

windows-observateur-evenements-abonnement-8-730x168

En faisant un clic droit sur l’abonnement est “État d’exécution” vous pourrez voir si l’abonnement est actif ou en erreur.

windows-observateur-evenements-abonnement-14

 

Si l’état est actif alors le transfert d’événements doit fonctionner (à condition qu’il y ait un événement à transférer). Au niveau de la section “Événements transférés” – ou un autre journal selon votre config – sur le collecteur on voit qu’un événement apparaît en provenance de l’ordinateur “SCORC.labo.fr“. La configuration fonctionne !

windows-observateur-evenements-abonnement-15-730x214

 

Ce tutoriel est terminé. Pour ceux qui souhaitent scripter la création d’abonnements, il est possible d’utiliser l’outil “Wecutil” disponible nativement en ligne de commande sous Windows.

TOUT VOIR Ajouter une remarque
VOUS
Add your Comment