انواع مختلفی از گزارش رویدادها توسط سیستم عامل ویندوز نگهداری می شود. یکی از این موارد گزارش رویدادهای Forwarded Events است. این گزارش رویدادهای نوشته شده توسط رایانه های دیگر در همان شبکه ("رایانه های منبع") را که رویدادهای خود را به "رایانه جمع کننده" ارسال کرده اند، ثبت می کند. با استفاده از گزارش رویدادهای بازارسال، می توانید گزارش رویدادهای چند رایانه دیگر را از یک مکان مرکزی پیگیری کنید.
برای استفاده از گزارش رویدادهای ارسالشده، باید رایانههای مبدأ و رایانه جمعآوری را پیکربندی کنید. از هر کامپیوتر منبع، دستور زیر را از یک خط فرمان elevated-permissions اجرا کنید:
C:> winrm quickconfig
همچنین باید حساب رایانه رایانه جمع کننده را به گروه Administrators محلی در هر یک از رایانه های منبع اضافه کنید.
سپس در رایانه جمعآوری دستور زیر را از یک خط فرمان elevated-permissions اجرا کنید:
C:> wecutil qc
در نهایت، باید اشتراکی ایجاد کنید تا رایانهها بدانند که کدام رویدادها باید در رایانه جمعآوری شوند. مراحل زیر را در کامپیوتر جمع کننده انجام دهید:
شکل 1. ایجاد اشتراک.
- به عنوان یک سرپرست، Event Viewer را راه اندازی کنید و روی اشتراک ها در صفحه پیمایش کلیک کنید.
- در قسمت Actions، روی ایجاد اشتراک کلیک کنید.
- در شکل زیر جزئیات اشتراک خود را وارد کنید. (شکل 1 را ببینید.)
اکنون رویدادهای مشخص شده که در رایانههای مبدأ رخ میدهند به گزارش رویدادهای فوروارد شده ارسال میشوند، جایی که میتوانید همه آنها را از یک دستگاه تجزیه و تحلیل کنید.
