« L'homme qui déplace une montagne commence par déplacer les petites pierres. »
.png)
Les abonnements
Avec Windows Serveur 2008 et Windows Vista est apparue une fonctionnalité pertinente: la possibilité de centraliser sur un poste des informations ciblées provenant des journaux événements d'autres postes. L'information vient à vous et non plus l'inverse.
Avant de pouvoir créer un abonnement pour collecter des événements sur un ordinateur, vous devez configurer à la fois l’ordinateur collecteur et chaque ordinateur à partir duquel les événements seront collectés (source).
Configuration des postes
Pour configurer les ordinateurs d’un domaine pour qu’ils transfèrent et collectent des événements
Ouvrez une session sur tous les ordinateurs collecteurs et sources. Il est recommandé d’utiliser un compte de domaine avec des privilèges d’administration. Sur chaque ordinateur source, tapez la commande suivante à partir d’une invite de commande élevée :
winrm quickconfig
Sur chaque ordinateur collecteur, tapez la commande suivante à partir d’une invite de commandes élevée :
wecutil qc
Ajoutez le compte d’ordinateur de l’ordinateur collecteur au groupe local Administrateurs sur chaque ordinateur source.
Les ordinateurs sont maintenant configurés pour transférer et collecter des événements.
Créer un nouvel abonnement
Exécutez l’observateur d’événement en tant qu’administrateur sur l’ordinateur collecteur.
Cliquez sur Abonnements dans l’arborescence de la console. Dans le menu Actions, cliquez sur Créer un abonnement.
Dans la zone Nom d’abonnement, tapez le nom de l’abonnement.
Dans la zone Journal de destination, sélectionnez le journal des événements dans lequel les événements collectés doivent être stockés. Par défaut, les événements collectés sont stockés dans le journal Événements Transférés.
Cliquez sur Avancé.
Dans la boîte de dialogue Paramètres avancés d’abonnement, vous pouvez spécifier une optimalisation de la remise de l’événement ou indiquer le compte utilisé pour gérer la procédure de collecte des événements.
- Pour spécifier une optimisation de la remise d’un événement : Sélectionnez l’option Optimisation de la remise d’un événement souhaitée, puis cliquez sur OK.
- Pour spécifier le compte utilisé pour gérer le processus de collecte des événements, sélectionnez l’option Utilisateur spécifique, puis cliquez sur Utilisateur et mot de passe et entrez le nom d’utilisateur et le mot de passe du compte, puis cliquez sur OK. Cliquez sur OK dans la boîte de dialogue Propriétés avancées de l’abonnement.
Cliquez sur Ajouter et sélectionnez les ordinateurs à partir desquels les événements doivent être collectés.
Testez la connectivité
Cliquez sur Sélectionner des événements pour afficher la boîte de dialogue Filtre de requête. Utilisez les commandes de la boîte de dialogue Filtre de requête pour spécifier à quels critères les événements doivent répondre pour être collectés.
Cliquez sur OK dans la boîte de dialogue Propriétés de l’abonnement. L’abonnement sera ajouté au volet Abonnements et, si l’opération a réussi, l’abonnement aura le statut Actif.
Les événements qui se produisent sur les ordinateurs transmetteurs et qui répondent aux critères de l’abonnement seront copiés sur le journal de l’ordinateur collecteur.
Vous pouvez configurer la manière dont des événements collectés sont remis, et spécifier le compte utilisé pour gérer le processus de collecte des événements. L’observateur d’événement offre trois options d’optimisation de la remise des événements : Normale, Réduire la bande passante et Réduire le temps de latence. Le tableau suivant donne la liste de toutes les options et décrit quand les utiliser.
|
Options d’optimisation de la remise des événements |
Description |
|
Normale |
Cette option garantit une remise fiable des événements et ne cherche pas à maintenir la bande passante. C’est une bon choix, à moins que vous ne vouliez contrôler plus étroitement l’utilisation de la bande passante ou que vous n’ayez besoin de remettre les événements transmis le plus rapidement possible. Elle utilise le mode de remise de type pull, envoie des lots de cinq éléments à la fois et fixe un délai d’attente de 15 minutes pour les lots. |
|
Réduire la bande passante |
Cette option assure un contrôle strict de l’utilisation de la bande passante du réseau pour la remise des événements. C’est un bon choix si vous voulez limiter la fréquence des connexions réseau effectuées pour remettre des événements. Elle utilise le mode de remise de type push et fixe un délai d’attente de 6 heures pour les lots. Elle utilise en outre un intervalle de pulsations de 6 heures. |
|
Réduire le temps de latence |
Cette option garantit la remise des événements dans un délai minimal. C’est un bon choix si vous collectez des avertissements ou des événements critiques. Elle utilise le mode de remise de type push et fixe un délai d’attente de 30 secondes pour les lots. |
L’option de remise Personnalisée d’un événement n’est jamais utilisée dans la gestion des abonnements créés à l’aide du composant enfichable Observateur d’événements. L’observateur d’événements ne peut créer que des abonnements avec des paramètres de remise d’événements qui correspondent aux options Normale, Réduire la bande passante ou Réduire le temps de latence. Mais vous pouvez néanmoins utiliser l’observateur d’événements pour gérer un abonnement créé ou mis à jour à l’aide d’une méthode différente, telle que l’outil en ligne de commande wecutil. Dans ce cas, l’option Personnalisée est sélectionné pour indiquer que l’ensemble de paramètres de remise de l’inscription ne correspond à aucun des paramètres pris en charge par l’observateur d’événements.
Optimisations supplémentaires
Les options Réduire la bande passante et Réduire le temps de latence traitent simultanément un nombre d’éléments par lot défini par défaut. Vous pouvez déterminer cette valeur par défaut en tapant la commande suivante à l’invite :
winrm get winrm/config
Vous pouvez modifier le nombre d’éléments par défaut dans un lot en tapant la commande suivante à l’invite de commandes :
winrm set winrm/config @{MaxBatchItems=
}
L’exemple suivant montre comment remplacer le nombre par défaut d’éléments par lot par 5 :
winrm set winrm/config @{MaxBatchItems="5"}