Tôi đang gặp vấn đề khi cố gắng sử dụng nhật ký nhật ký tùy chỉnh để lưu trữ các sự kiện được chuyển tiếp (thông qua đăng ký) trên máy chủ Windows 2008 R2, nhật ký tùy chỉnh được mô tả là không phải là "nhật ký đích hợp lệ".
Tôi hiện đang thiết lập một kiến trúc để tập trung các sự kiện Windows bằng cách sử dụng các khả năng thu thập và chuyển tiếp sự kiện tích hợp (thông qua quản lý WS và wecutil).
Một trong những yêu cầu của tôi là có thể tạo một số đăng ký trên máy thu thập và lưu trữ các sự kiện được chuyển tiếp trong các tệp nhật ký khác nhau. Vì vậy, tôi đã thử nghiệm tạo một nhật ký tùy chỉnh (được gọi là CustomLog). Nhật ký này xuất hiện trong Trình xem sự kiện, trong mục "Nhật ký ứng dụng và dịch vụ".
Tuy nhiên, tôi không thể chuyển hướng các sự kiện được chuyển tiếp đến CustomLog này. CustomLog không xuất hiện trong danh sách đích có thể khi tạo đăng ký trong giao diện người dùng Event Viewer.
Để thử những gì có thể sai, tôi đã để nó với ForwardedEvents mặc định làm đích và tôi đã cố gắng thay đổi nó thông qua Powershell. Tôi đã chạy lệnh sau, được cho là để thiết lập nhật ký đích là CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
Nó chạy không có lỗi. Mặc dù, không có sự kiện nào được đăng nhập vào CustomLog và khi tôi quay lại GUI để tạo / sửa đổi đăng ký và tôi cố gắng mở đăng ký mà tôi đã đặt, tôi nhận được một thông báo sau:
Nhật ký đích được xác định trong đăng ký này không thể được tìm thấy trong danh sách các nhật ký đích hợp lệ trên máy tính này. xác minh rằng nhật ký này tồn tại trên máy tính và hợp lệ làm đích cho các sự kiện được chuyển tiếp. Lưu ý rằng nhật ký cổ điển, nhật ký phân tích và gỡ lỗi và Nhật ký bảo mật có thể được sử dụng làm đích.
Có ai biết "nhật ký đích hợp lệ" là gì không và làm cách nào tôi có thể biến CustomLog của mình thành một đích hợp lệ như vậy?