尝试使用自定义日志日志在Windows 2008 R2服务器上存储转发事件(通过订阅)时遇到一个问题,该自定义日志被描述为不是“有效目标日志”。
我目前正在建立一种体系结构,以使用内置的事件转发和收集功能(通过WS-management和wecutil)集中Windows事件。
我的要求之一是能够在收集器计算机上创建多个订阅,并将转发的事件存储在不同的日志文件中。为此,我测试了创建自定义日志(称为CustomLog)。该日志显示在事件查看器的“应用程序和服务日志”类别下。
但是,我无法将转发的事件重定向到此CustomLog。在事件查看器用户界面中创建订阅时,CustomLog不会出现在可能的目标列表中。
要尝试解决问题,我将默认的ForwardedEvents保留为目标,并尝试通过Powershell进行更改。我运行了以下命令,该命令应该将目标日志设置为CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
它运行没有错误。但是,没有事件记录到CustomLog中,当我返回GUI创建/修改订阅并尝试打开设置的订阅时,会弹出一个对话框,说明以下内容:
在此计算机上有效的目标日志列表中找不到此订阅中定义的目标日志。验证此日志在计算机上是否存在,并且可用作转发事件的目的地。请注意,经典日志,分析和调试日志以及安全日志不能用作目标。
有人知道什么是“有效目标日志”,如何将CustomLog变成这样的有效目标?