Guida all'implementazione › Configurazione della raccolta eventi › Esempio: abilitare la raccolta diretta utilizzando WinRMLinuxLogSensor

Esempio: abilitare la raccolta diretta utilizzando WinRMLinuxLogSensor

È possibile abilitare la raccolta diretta degli eventi generati dalle applicazioni Windows oppure dal sistema operativo Windows Server 2008 con WinRMLinuxLogSensor. A tale scopo, sull'agente predefinito creare un connettore basato su un'integrazione che utilizza WinRMLinuxLogSensor. Molte integrazioni utilizzano questo sensore, ad esempio Active_Directory_Certificate_Services, Forefront_Security_for_Exchange_Server, Hyper-V, MS_OCS e WinRM. Le applicazioni e il sistema operativo Microsoft Windows in grado di generare eventi che WinRMLinuxLogSensor può recuperare sono quelli per cui è abilitata la Gestione remota di Windows.

Segue un elenco parziale dei prodotti che generano eventi che possono essere raccolti direttamente dall'agente predefinito sul server CA Enterprise Log Manager. Per ogni prodotto viene utilizzato un connettore univoco. Ogni connettore utilizza WinRMLinuxLogSensor.

• Servizi di certificato di Microsoft Active Directory
• Microsoft Forefront Security for Exchange Server
• Microsoft Forefront Security for Exchange Server
• Microsoft Hyper-V Server 2008
• Microsoft Office Communication Server
• Microsoft Windows Server 2008

Per un elenco completo, consultare la Matrice di integrazione di prodotto nel supporto in linea.

Questo esempio illustra come abilitare la raccolta diretta di eventi utilizzando un connettore basato sull'integrazione WinRM. Una volta distribuito un collettore di questo tipo, esso raccoglie eventi dall'origine eventi del sistema operativo Windows Server 2008. La raccolta inizia dopo la configurazione delle origini eventi in modo da registrare eventi nel Visualizzatore eventi di Windows e dopo l'abilitazione della Gestione remota di Windows Server, come indicato nella guida al connettore associato a questa integrazione.

Per la procedura di configurazione dell'origine eventi di Windows Server 2008

1. Fare clic sulla scheda Amministrazione.
2. Espandere Libreria di perfezionamento eventi, Integrazioni, Sottoscrizione, quindi selezionare WinRM.

   Visualizza dettagli di integrazione contiene il nome del sensore, ovvero WinRMLinuxLogSensor. Le piattaforme supportate comprendono sia Windows che Linux.

3. Fare clic sul collegamento Guida su Visualizza dettagli di integrazione WinRM.

   Viene visualizzata la Guida al connettore per Microsoft Windows Server 2008-WinRM.

Per configurare l'origine eventi e verificare la registrazione

1. Accedere all'host di destinazione con un sistema operativo Windows Server 2008.
2. Seguire le indicazioni nella Guida al connettore CA per Microsoft Windows Server 2008 per controllare che gli eventi vengono inseriti nel Visualizzatore eventi di Windows e che la gestione remota di Windows è abilitata sul server di destinazione.

   Nota: parte di questo processo consiste nella creazione del nome utente e della password da inserire durante la configurazione del connettore. Tali credenziali abilitano l'autenticazione necessaria per stabilire la connettività fra l'origine eventi e CA Enterprise Log Manager.

3. Verificare la registrazione.
   1. Aprire eventvwr dalla finestra di dialogo Esegui.

      Verrà visualizzato il Visualizzatore eventi.

   2. Espandere Registri di Windows e fare clic su Sicurezza.

      Una schermata simile alla seguente indica l'effettiva esecuzione della registrazione.

   

Per abilitare la raccolta diretta da origini eventi Windows

1. Selezionare la scheda Amministrazione e la sottoscheda Raccolta registri.
2. In Gestione raccolta log, espandere Explorer agente e quindi il gruppo di agenti che contiene l'agente predefinito di CA Enterprise Log Manager.
3. Selezionare un agente predefinito, ovvero un agente con il nome di un server di CA Enterprise Log Manager.

   Sull'agente predefinito possono essere distribuiti altri connettori.

4. Fare clic su Crea nuovo connettore

   

   Viene visualizzata la procedura guidata Creazione di un nuovo connettore, con il passaggio Dettagli connettore selezionato.

5. Dall'elenco a discesa Integrazione, selezionare un'integrazione che utilizza il sensore di registro WinRM.

   Ad esempio, scegliere WinRM.

   

   Questa selezione riempie il campo Nome connettore con WinRM_Connector

6. (Facoltativo) Fare clic su Applica regole di soppressione e selezionare le regole associate agli eventi supportati.
7. Fare clic sul passaggio Configurazione connettore e quindi sul collegamento Guida.

   Le istruzioni contengono Configurazione del sensore di CA Enterprise Log Manager- WinRM.

   

8. Per configurare il sensore, seguire le istruzioni di questa Guida al connettore. Inserire l'indirizzo IP, piuttosto che il nome di host, dell'host in cui è configurata la Gestione remota di Windows. Le voci Nome utente e Password rispecchiano le credenziali aggiunte durante la configurazione della Gestione remota di Windows.

   Segue un esempio:

   

9. Fare clic su Salva e chiudi.
10. Il nuovo nome di connettore viene visualizzato in Explorer agente, sotto l'agente.

    

11. Fare clic su WinRM_Connector per visualizzare i dettagli di stato.

    Inizialmente, lo stato è In attesa di configurazione. Attendere fino a quando lo stato è In esecuzione.

    

12. Fare clic su In esecuzione per visualizzare dati di riepilogo come ad esempio gli EPS (Eventi al secondo, events per second).

    

Per verificare che l'agente predefinito sta raccogliendo eventi dall'origine eventi di destinazione

1. Selezionare la scheda Query e rapporti. Viene visualizzata la sottoscheda Query.
2. Nell'elenco query, espandere Prompt e selezionare Connettore.
3. Immettere il nome del connettore e fare clic su Vai a.
4. Visualizzare gli eventi raccolti.

Ulteriori informazioni:

Origini eventi per Raccolta registro diretta