Server 2012 事件日志转发

Posted 2023-02-26

【中文标题】Server 2012 事件日志转发

【英文标题】：Server 2012 Event log forwarding

【发布时间】：2017-02-21 10:54:51

【问题描述】：

我在将事件日志转发到我的收集器服务器时遇到问题。我关注了有关如何设置它的各种文章，并在源上启用了 winrm，在收集器上启用了 wecutil。我确保收集器在事件日志读取器组中，并且启用了 windows 防火墙规则，但未启用防火墙。我已经正确设置了订阅，并为用户帐户启动了收集器和机器帐户，但是“转发事件”日志中没有显示任何事件，并且运行时状态失败并出现以下错误：

错误 - 上次重试时间：2016 年 10 月 12 日上午 8:55:12。代码（0x80338095）：推送订阅源到客户端的连通性测试失败。如果启动推送订阅的客户端计算机无法从事件源所在的服务器计算机访问，则可能会发生这种情况。可能的原因包括防火墙或其他一些网络边界。修改订阅以使用基于拉取的订阅。下次重试时间：10/12/2016 9:00:12 AM。

我在网上没有找到太多解决此问题的方法。我可以采取任何步骤来确定问题，还是我遗漏了一些简单的东西？一篇技术网文章谈到了 2008 年服务器的修补程序，我的都是 2012 年的。会不会与 GPO 相关？

【参考方案1】：

使用以下文章对流程的各个部分进行故障排除。 http://tutorial.programming4.us/windows_7/forwarding-events-(part-2)---how-to-troubleshoot-event-forwarding---how-to-configure-event-forwarding-in-workgroup-environments.aspx

最终删除订阅并重新创建它，事件开始转发。

【讨论】：

我不得不编辑日志大小和目的地，因为它已填满我的 HDD。一旦我删除了日志并更改了大小，运行时测试现在就会失败。我已经确保需要运行的服务已经启动，我检查了防火墙设置，尝试创建一个新的订阅，我什至反弹了收集器服务器，运行时间仍然失败。

根据所有文档，它在“事件传递优化”下说选择最小化延迟。运行时状态失败.....当我选择正常时，运行时状态连接并转发事件。

您的上一条评论刚刚为我解决了这个问题。多么令人沮丧。如果你按照微软所说的设置它，它就行不通！

如果我需要“最小化延迟”，有什么解决方案吗？

【参考方案2】：

我刚刚将Event Delivery Optimization 改回Normal，然后运行命令wecutil gr <Subscription name>，它看起来好像有效。