Manuel d'implémentationConfiguration de la collecte d'événements › Exemple : Activation de la collecte directe à l'aide du détecteur WinRMLinuxLogSensor

Rubrique précédente: Exemple : Activation de la collecte directe à l'aide du détecteur ODBCLogSensor

Rubrique suivante: Affichage et contrôle de l'état d'un agent ou d'un connecteur

Exemple : Activation de la collecte directe à l'aide du détecteur WinRMLinuxLogSensor

Vous pouvez activer la collecte directe d'événements générés par des applications Windows ou le système d'exploitation Windows Server 2008 à l'aide du détecteur WinRMLinuxLogSensor. Pour y parvenir, créez un connecteur sur l'agent par défaut basé sur une intégration qui utilise le détecteur WinRMLinuxLogSensor. De nombreuses intégrations utilisent ce détecteur, par exemple, Active_Directory_Certificate_Services, Forefront_Security_for_Exchange_Server, Hyper-V, MS_OCS et WinRM. L'application et le système d'exploitation Microsoft Windows qui génèrent des événements pouvant être récupérés via le détecteur WinRMLinuxLogSensor sont ceux pour lesquels la fonction Gestion à distance de Windows a été activée.

Vous trouverez ci-dessous une liste partielle des produits qui génèrent des événements pouvant être collectés directement par l'agent par défaut sur un serveur CA Enterprise Log Manager. Un connecteur unique est utilisé pour chaque produit ; chaque connecteur utilise le détecteur WinRMLinuxLogSensor.

Pour obtenir une liste complète, consultez la Matrice d'intégration de produits sur le support en ligne.

Cet exemple décrit l'activation de la collecte directe des événements à l'aide d'un connecteur fondé sur l'intégration WinRM. Quand un tel connecteur est déployé, il collecte des événements à partir d'une source d'événement du système d'exploitation Windows Server 2008. La collecte débute après la configuration des sources d'événement afin de consigner les événements dans la Visionneuse d'événements Windows et d'activer la fonction Gestion à distance de Windows sur le serveur, tel que spécifié dans le manuel du connecteur associé à cette intégration.

Pour configurer la source d'événements Windows Server 2008 :

  1. Cliquez sur l'onglet Administration et le sous-onglet Bibliothèque.
  2. Développez Bibliothèque d'ajustement d'événement, Intégrations, Abonnement, puis sélectionnez WinRM.

    La fenêtre Afficher les détails des intégrations indique le nom du détecteur, à savoir WinRMLinuxLogSensor. Windows et Linux sont les deux plateformes prises en charge.

  3. Cliquez sur le lien Aide de la fenêtre Afficher les détails de l'intégration WinRM.

    Le manuel du connecteur pour Microsoft Windows Server 2008--WinRM s'affiche.

Pour configurer la source d'événement et vérifier la journalisation :

  1. Connectez-vous à l'hôte cible muni d'un système d'exploitation Windows Server 2008.
  2. Suivez les instructions figurant dans le manuel du connecteur CA pour Microsoft Windows Server 2008 pour vous assurer de l'affichage des événements dans la Visionneuse d'événements Windows et de l'activation de la fonction Gestion à distance de Windows sur le serveur cible.

    Remarque : Une partie de ce processus consiste à créer le nom d'utilisateur et le mot de passe que vous devez saisir lors de la configuration du connecteur. Ces informations de connexion permettent l'authentification requise pour établir une connectivité entre la source d'événement et CA Enterprise Log Manager.

  3. Vérifiez la journalisation.
    1. Ouvrez eventvwr dans la boîte de dialogue Exécuter.

      La visionneuse d'événements apparaît.

    2. Développez Journaux Windows et cliquez sur Sécurité.

      Une fenêtre semblable à la suivante s'affiche et indique que la journalisation est en cours.

    Event Viewer shows events.

Pour activer la collecte directe d'événements à partir de sources d'événement Windows :

  1. Sélectionnez l'onglet Administration, puis le sous-onglet Collecte de journaux.
  2. Dans l'Explorateur de collecte de journaux, développez Explorateur d'agent, ainsi que le groupe d'agents contenant l'agent par défaut CA Enterprise Log Manager.
  3. Sélectionnez un agent par défaut, c'est-à-dire, un agent portant le nom d'un serveur CA Enterprise Log Manager.

    D'autres connecteurs peuvent être déployés sur l'agent par défaut.

  4. Cliquez sur Créer un connecteur.

    Sélectionnez l'agent et cliquez sur Créer un connecteur.

    L'assistant Création d'un connecteur apparaît ; l'étape Détails du connecteur est sélectionnée.

  5. Sélectionnez une intégration qui utilise le détecteur de journaux WinRM dans la liste déroulante Intégration.

    Par exemple, WinRM.

    La sélection de l'intégration WinRM crée WinRM_Connector.

    Cette sélection renseigne le champ Nom du connecteur par WinRM_Connector

  6. Cliquez sur Appliquer les règles de suppression et sélectionnez les règles associées à des événements pris en charge (facultatif).
  7. Cliquez sur l'étape Configuration du connecteur, puis cliquez sur le lien Aide.

    Les instructions incluent la configuration des détecteurs CA Enterprise Log Manager--WinRM.

    Click the link, CA Enterprise Log Manager Sensor Configuration--WinRM.

  8. Suivez les instructions du manuel du connecteur pour configurer le détecteur. Saisissez l'adresse IP, plutôt que le nom d'hôte, de l'hôte sur lequel vous avez configuré Gestion à distance de Windows. Le nom d'utilisateur et le mot de passe saisis correspondent aux informations de connexion ajoutées lors de la configuration de la Gestion à distance de Windows.

    Voici un exemple.

    Follow the instructions in the connector guide for sensor configuration.

  9. Cliquez sur Enregistrer et fermer.
  10. Le nouveau nom du connecteur s'affiche sous l'agent dans l'Explorateur d'agent.

    WinRM_Connector appears under the default agent in Agent Explorer.

  11. Cliquez sur WinRM_Connector pour afficher les détails de l'état.

    Au début, l'état indique Configuration en attente. Attendez jusqu'à ce que l'état affiche Exécution en cours.

    WinRM_Connector shows status Running.

  12. Cliquez sur Exécution en cours pour obtenir des données, telles que les EPS (événements par seconde).

    The status shows average EPS among other metrics.

Pour vérifier que l'agent par défaut collecte des événements à partir de la source d'événement cible :

  1. Sélectionnez l'onglet Requêtes et rapports. Le sous-onglet Requêtes s'affiche.
  2. Développez Invites dans la Liste de requêtes, puis sélectionnez Connecteur.
  3. Saisissez le nom du connecteur, puis cliquez sur OK.
  4. Visualisez les événements collectés.

Informations complémentaires :

Sources d'événement pour la collecte directe de journaux