Imortale 10 Geschrieben 22. April 2010 Melden Teilen Geschrieben 22. April 2010 Hallo Zusammen Auf Geheiss von NilsK ;), mache ich für das Thema einen neuen Thread. Da der andere schon recht alt ist. Es geht darum, das neue Subscription Feature zu benutzen welches mit 2008 integriert wurde. Hat hier jemand eine gute Anleitung auf deutsch? oder Erfahrung damit, also schon mal gemacht? Ich hab soweit alles schön eingerichtet, aber leider kommen die events nicht beim Collector an. Ich habe auf Collector und Source die "winrm" befehle abgesetzt, was auch soweit konfiguriert ist. Auf dem Collector wurde übers GUI die zu empfangenden Events konfiguriert und woher diese kommen. Auf der Source (ist ein DC) habe ich zusätzlich noch per gpedit den Collector angegeben. Syntax ist ja dort: "Server=FQDN" oder "Server=http(s)://<FQDN>/wsman/SubscriptionManager/WEC" Ich weiss jetzt nicht ob mit oder ohne Anführungszeichen aber hab beides ausprobiert und es funktioniert nicht. Einzig HTTPS habe ich nicht getestet, aber ich denke es müsste auch so gehen, ausser ihr sagt mir jetzt was anderes ;). Natürlich gäbe es als Alternative LogParser, aber ich würds gern über diese Option lösen. Danke für die Hilfe im Voraus Gruss Andreas Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 22. April 2010 Melden Teilen Geschrieben 22. April 2010 Moin, ich hab's mal im Labor gemacht, und es ging auf Anhieb. Grundsätzlich funktioniert es also. ;) Zum konkreten Troubleshooting kann ich aktuell wenig beitragen (weil es eben direkt ging), aber schau doch mal diese Liste durch: windows 2008 event subscription - Google-Suche Allgemein aber noch der Hinweis: Die Subscription nützt dir nur in Umgebungen, die mindestens Windows Server 2008 einsetzen. Und: Unterschätze in einer großen Umgebung nicht den Traffic, der daraus entsteht. Gruß, Nils Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 22. April 2010 Autor Melden Teilen Geschrieben 22. April 2010 Moin zurück ;), Danke für die schnelle Antwort. Kannst du dich noch erinnern ob du die Einträge mit oder ohne Anführungszeichen gemacht hast? Der Forest oder Domainlevel hat aber keinen Einfluss auf das ganze?! Nach welcher Anleitung hast du die Konfiguration durchgeführt? Ok danke für den Hinweis, ist der Traffic mit LogParser kleiner? ich leite ja nur die crits und warnings weiter. Hmm jetzt hast mich nachdenklich gemacht... dachte die Lösung sei eher schlanker.. Gruss Andreas Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 23. April 2010 Melden Teilen Geschrieben 23. April 2010 Moin, Log Parser ist dafür ja keine fertige Lösung. Die müsstest du dir schon noch bauen. Dieser Ansatz hier kopiert z.B. nur in definierbaren Intervallen die Daten übers Netz - allerdings ohne Optimierung als Klartext, d.h. in großen Umgebungen und/oder bei vielen Events kann der Traffic durchaus größer ausfallen: faq-o-matic.net Windows-Ereignisse mit Log Parser berwachen Worauf ich nur hinweisen wollte: Die Subscription ist klasse, aber sie hat a) ihre technischen Grenzen und ist b) nur dann sinnvoll, wenn dahinter auch Prozesse zum Log Management stehen, die diese Quasi-Echtzeit-Auswertung auch benötigen und sinnvoll damit umgehen. Für sporadische Log-Auswertungen würde ich andere Lösungen vorziehen. Gruß, Nils Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 23. April 2010 Autor Melden Teilen Geschrieben 23. April 2010 Hallo, Ja ich bin öfter auf faq o matic unterwegs und versuche mir gerade über diese "Anleitung" was zu bauen. **** ist halt wenn man das ganze nicht in Testumgebung bauen kann, sondern gleich auf den Live servern. Problem ist halt das auch nur ein Bruchteil unserer zu überwachenden Server w2k8 ist. Das ist auch der Grund wieso ich mich jetzt mit Log Parser beschäftige.. Wie auch immer, danke dir für deine Anregungen Gruss Andreas Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 14. Mai 2010 Autor Melden Teilen Geschrieben 14. Mai 2010 Hallo Nilsk, Ich habe Logparser, mal testweise auf 2 servern installiert (Client/Host). Nun bekomme ich HTML file keine Logs ausgegeben. Ich habe mir das Script mal in der CMD anzeigen lassen (pause zu letzt on), nun bekomme ich ganz am Anfang einen error (siehe fehlermeldung): ------------------------------------------------------------------------- Creating the faq-o-matic.net Error Report Merging data ... processing \\server\logparser$\member\server-EventCollector.txt Copying memberevents.txt to "\\server\logparser$\member" The process cannot access the file because it is being used by another process. 0 file(s) copied. 1 file(s) copied. Creating Report: Number of Events in the Last 24 Hours ... Statistics: ----------- Elements processed: 40 Elements output: 0 Execution time: 0.05 seconds 'sleep' is not recognized as an internal or external command, operable program or batch file. Creating Report: Repeated Events of the Last Week ... Statistics: ----------- Elements processed: 40 Elements output: 0 Execution time: 0.05 seconds 'sleep' is not recognized as an internal or external command, operable program or batch file. Creating Report: Events of the Last Hour ... Statistics: ----------- Elements processed: 40 Elements output: 0 Execution time: 0.03 seconds 'sleep' is not recognized as an internal or external command, operable program or batch file. Creating Report: Events of the Last 24 Hours ... Statistics: ----------- Elements processed: 40 Elements output: 0 Execution time: 0.03 seconds 'sleep' is not recognized as an internal or external command, operable program or batch file. 1 file(s) copied. Finished. Press any key to continue . . . ------------------------------------------------------------------------- Ist das normal? Fällt dir dazu was ein? Oder wurde bloss keine events geloggt, welche relevant sind? Aber wieso wurde sie dann ins .txt geschrieben? Besten Dank für deine Hilfe im Voraus Gruss Andreas Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 14. Mai 2010 Melden Teilen Geschrieben 14. Mai 2010 Moin, **** ist halt wenn man das ganze nicht in Testumgebung bauen kann, sondern gleich auf den Live servern. dazu pflege ich zu sagen: Es gibt keine Kunden ohne Testumgebung. Es gibt aber viele Kunden ohne Produktionsnetzwerk. Oder deutlicher: Wer Tests im Produktionsnetzwerk durchführt, handelt grob fahrlässig! Copying memberevents.txt to "\\server\logparser$\member"The process cannot access the file because it is being used by another process. Das sieht nach einem Timing-Problem aus, könnten aber auch Berechtigungen oder sowas sein. Das solltest du klären, denn hier geschieht genau der entscheidende Schritt, weil die Events der beteiligten Server zusammengefügt werden. Und ohne Events keine Auswertung ... 'sleep' is not recognized as an internal or external command,operable program or batch file. Hm, da hab ich wohl beim Batch-Bauen was übersehen. Scheint, dass in der Originalumgebung ein externer Sleep-Befehl dabei war. Muss ich mal ändern, denn das Sleep soll Timing-Probleme umgehen. Behelfen kann man sich, indem man das "sleep" jeweils ersetzt durch: ping -n 3 localhost>nul Dabei die 3 durch die Zahl der Sekunden ersetzen, die man warten will. Creating Report: Repeated Events of the Last Week ... Statistics: ----------- Elements processed: 40 Elements output: 0 Bedeutet: In den 40 verarbeiteten Events sind keine Wiederholungen. Also auch kein Ergebnis. 40 Events sind aber sehr wenig - das deutet darauf hin, dass in der Tat ganz am Anfang die Ausgangsdateien nicht kopiert wurden. Gruß, Nils Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 14. Mai 2010 Autor Melden Teilen Geschrieben 14. Mai 2010 (bearbeitet) Danke für die schnelle Antwort. Sehr Cool was du da zusammegebaut hast.. dazu pflege ich zu sagen: Es gibt keine Kunden ohne Testumgebung. Es gibt aber viele Kunden ohne Produktionsnetzwerk Merk ich mir :) Das sieht nach einem Timing-Problem aus, könnten aber auch Berechtigungen oder sowas sein. Das solltest du klären, denn hier geschieht genau der entscheidende Schritt, weil die Events der beteiligten Server zusammengefügt werden. Und ohne Events keine Auswertung ... Hmm, Ich habe diesen Fehler immernoch, aber so wies scheint, klappt jetzt alles. Behelfen kann man sich, indem man das "sleep" jeweils ersetzt durch: Code: ping -n 3 localhost>nulDabei die 3 durch die Zahl der Sekunden ersetzen, die man warten will. funktioniert wunderbar.. Noch eine Frage zur Funktion, welche Daten werden aus dem "eventvwr" gelesen? Was mir jetzt aufgefallen ist, dass sämtliche Meldungen aus dem System fehlen.. Ist das so? Wenn ja, wie erweitere ich das am besten? Hab ich mir gerade selber beantwortet :) Danke für die Hilfe Gruss Andreas bearbeitet 14. Mai 2010 von Imortale Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Hallo Nils Eine kleine Frage,in diesem Eventcollector.bat kann man ja die events parsern lassen. Per Logfile=bla, wird das bla-event geparsert. Kann man hier noch weiter verfeinern nach Sourcen? also zbsp Logfile=system source=print und wie müsste dann die ganze Zeile aussehen? Danke für deine Hilfe Gruss Andreas Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Moin, schau in die Hilfe zum Log Parser. Gruß, Nils Zitieren Link zu diesem Kommentar
Imortale 10 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Hallo Nils Jo, da war ich. Was ich gefunden habe ist SourceName. Nur dreht sich bei mir noch ein logisches Problem im Kopf. Was würdest du eher machen, die gesamten Logs übertragen lassen, mergen, dann in einem zwischenschritt filtern und letzter Schritt dann das Htm-file erstellen? Oder andersherum bereits beim Server selber Filtern und die Daten wie anhin verarbeiten. Ist sicher einfacher, nur laufen dann teilweise bis zu 6 Task auf einem Server, was ich unschön finde. Grund für das ganze ist, dass ich einmal das ganze eventlog brauche und dan zusätzlich noch gewisse Server gruppen zusammengefasst.. Gruss Andreas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.