我在尝试使用自定义日志日志在 Windows 2008 R2 服务器上存储转发的事件(通过订阅)时遇到问题,自定义日志被描述为不是“有效的目标日志”。
我目前正在使用内置的事件转发和收集功能(通过 WS-management 和 wecutil)建立一个用于集中 Windows 事件的架构。
我的要求之一是能够在收集器机器上创建多个订阅并将转发的事件存储在不同的日志文件中。为此,我测试了创建自定义日志(称为 CustomLog)。此日志出现在“应用程序和服务日志”类别下的事件查看器中。
但是,我无法将转发的事件重定向到此 CustomLog。在事件查看器用户界面中创建订阅时,CustomLog 不会出现在可能的目的地列表中。
为了尝试可能出错的地方,我将默认的 ForwardedEvents 作为目的地,并尝试通过 Powershell 更改它。我运行了以下命令,该命令应该将目标日志设置为 CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
它运行没有错误。但是,CustomLog 中没有记录任何事件,当我返回 GUI 创建/修改订阅并尝试打开我设置的订阅时,我会收到一个弹出窗口,说明以下内容:
在此计算机上的有效目标日志列表中找不到此订阅中定义的目标日志。验证此日志是否存在于计算机上并且作为转发事件的目的地有效。请注意,经典日志、分析和调试日志以及安全日志不能用作目标。
有谁知道什么是“有效的目标日志”以及如何将我的 CustomLog 变成这样一个有效的目标?