Tip: 查看多台计算机上的日志

Vista 开始日志管理有了很大改变，有很多方便的应用，比如增强了过滤器，增加了应用程序和服务日志类别，启用Analytic 和 debug 日志，甚至可以根据特定日志来触发一个计划任务

 

最方便的还是可以轻松查看多台计算机上的日志，2003中，我们也可以使用事件日志查看器连到特定的机器上进行查看，但同时查看多台机器还不是很方便。Vista，2008中可以同时订阅多台机器的日志，以便查看。

 

下面的例子中，源计算机为John-PC，收集日志的计算机为 Ex666, 我们要在Ex666 上查看 john-pc 上的日志。

 

1. 在所有源计算机上运行下面的命令

winrm quickconfig

注：这个步骤是允许此计算机接收 WS-Management 请求，除了启动 WinRM 服务外，它还在防火墙上创建允许WS-Management的例外, 并允许此服务侦听特定端口。

2. 在收集日志计算机 Ex666上运行命令 （需要提升权限）

wecutil qc

 

3. 把 Ex666 添加到John-PC 的本地管理员中

4. 打开 Ex666 上的 Eventvrw.msc, 创建一个订阅.

创建一个新的订阅:

Destination log 的意思就是说，你准备把John-PC上收集来的日志放到本地的哪个日志中，默认是 Forwarded Events, 这个日志是 Vista 以后新加的，专门用来存放转存来的日志文件。

 

Collector initiated 和 Source computer initiated，一个是从源计算机拉，一个是源计算机主动推，如果设定Source computer initiated, 就可以不必指定源计算机，我们会设定组策略，源计算机会自动把事件转发给收集者。

 

这里选 Collector initiated, 选择计算机

 

然后选择你要收集的日志，或者进行高级设定，然后点击 OK，要保证订阅的状态时活动的。

 

经过一段时间，我们就可以在本地看到远程计算机的日志了。

 

如果有多个服务器，我们可以利用这点来收集一些警告和错误日志，监视多个服务器。

转载于:https://blog.51cto.com/didda/208629