Forwarded Events, WS management не работает

Опубликованно: 05-08-2011

Server 2008 предоставляет замечательную возможность централизованного сбора событий с различных компьютеров

В теории все просто, существует две модели сбора событий: инициируемая центральным компьютером-собирателем (collector) и инициируемая клиентом.

Первая модель работает так: через заданный интервал времени (настройка через wecutil) компьютер-collector опрашивает клиента и получает от него события.

Для опроса используется http(s), на клиенте за обслуживание запросов отвечает Windows Remote Management service. По умолчанию он слушает порт 80 для http и 5985 для https.

Ну и конечно не работает.

Форумы: 

Конфигурация следующая:

Опубликовано пользователем manager

Конфигурация следующая: collector - server 2008, клиент - server2008 r2. Файерволы отключены, Windows Remote Management service запущен.

На клиенте выполнена команда winrm quickconfig, на сервере wecutil qc. На клиенте, компьютер-collector добавлен в группу Event Log Readers.

На этом официальные рекомендации заканчиваются. Подписка на события не работает, тест с collector'а выдает ошибку по таймауту.

По идее winrm quickconfig

Опубликовано пользователем manager

По идее winrm quickconfig должна была создать на клиенте listener для http с настройками по умолчанию. Список listener'ов можно посмотреть через winrm e winrm/config/listener

Тут ожидал сюрприз: на server2008 по умолчанию создается http listener на порту 80, а на R2 на порту 5985. Тот самый порт который server2008 использует для https.

Кстати, для https R2 использует порт 5986.

Так, ситуация понятна. Разные настройки по умолчанию для http listener являются причиной безответных обращений компьютера-коллектора к клиенту. Они используют разные порты.

Теперь попробуем исправить.

Сперва удалим созданный по

Опубликовано пользователем manager

Сперва удалим созданный на клиенте по умолчанию http listener:

winrm d winrm/config/listener?address=*+transport=http

Создадим правильный (в нашем случае):
winrm c winrm/config/listener?address=*+transport=http @{port="80"}

Проверяем - тест проходит и ,с течением времени, на collector'е начинают появляться события с клиента.

Теперь можно стартовать firewall и настроить исключения для WinRm.

Думаю можно пойти и другим

Опубликовано пользователем manager

Думаю можно пойти и другим путем - изменить порт по которому обращается collector.

Это может потребоваться в случае конфликтов совместного использования порта 80 на клиенте.

Если кто пробовал зайти с этой стороны - поделитесь опытом.