Guida all'implementazione › Configurazione della raccolta eventi › Esempio: Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor

Esempio: Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor

È possibile abilitare la raccolta diretta degli eventi generati da applicazioni Windows oppure dal sistema operativo Windows Server 2008 con WinRMLinuxLogSensor. Per eseguire questa operazione, creare un connettore sull'agente predefinito basato su un'integrazione che utilizza WinRMLinuxLogSensor. Numerose integrazioni utilizzano questo sensore, ad esempio: Active_Directory_Certificate_Services, Forefront_Security_for_Exchange_Server, Hyper-V, MS_OCS, e WinRM. L'applicazione e il sistema operativo Microsoft Windows che genera eventi recuperabili da WinRMLinuxLogSensor corrispondono ai sistemi per i quali è stata abilitata la Gestione remota Windows.

Di seguito si riporta una lista parziale dei prodotti che generano eventi disponibili per la raccolta diretta da parte dell'agente predefinito su un server CA User Activity Reporting Module. Per ogni prodotto, viene utilizzato un unico connettore e ciascun connettore utilizza WinRMLinuxLogSensor.

• Servizi certificati Microsoft Active Directory
• Microsoft Forefront Security per Exchange Server
• Microsoft Forefront Security per SharePoint Server
• Microsoft Hyper-V Server 2008
• Microsoft Office Communication Server
• Microsoft Windows Server 2008

Per l'elenco completo, consultare la Matrice di integrazione del prodotto sul sito del Supporto in linea.

Questo esempio mostra la modalità di abilitazione della raccolta diretta degli eventi mediante un connettore basato sull'integrazione WinRM. Quando tale connettore viene distribuito, esegue la raccolta degli eventi dall'origine evento di un sistema operativo Windows Server 2008 . La raccolta viene avviata dopo la configurazione delle origini evento per la registrazione degli eventi nel Visualizzatore eventi di Windows e l'abilitazione della Gestione remota Windows sul server, come specificato nella Guida del connettore associato all'integrazione.

Informazioni sulla modalità di configurazione dell'origine eventi di Windows Server 2008

1. Selezionare la scheda Amministrazione e la sottoscheda Library (Libreria).
2. Espandere Integrazione Log, Integrazioni e quindi Sottoscrizione e selezionare WinRM.

   La finestra Visualizza dettagli integrazione mostra il nome del sensore. WinRMLinuxLogSensor. Le piattaforme supportate includono Windows e Linux.

3. Fare clic sul collegamento alla Guida in linea della finestra Visualizza dettagli integrazione di WinRM.

   Viene visualizzata la Guida al connettore per Windows Server 2008--WinRM.

Per configurare l'origine evento e verificare la registrazione

1. Accedere all'host di destinazione con sistema operativo Windows Server 2008.
2. Attenersi alle istruzioni della Guida al connettore per Microsoft SQL Server di CA per verificare che gli eventi vengano visualizzati nel Visualizzatore eventi di Windows e per garantire che la Gestione remota Windows sia stata abilitata nel server di destinazione.

   Nota: questo processo richiede la creazione di un nome utente e di una password da immettere durante la configurazione del connettore. Tali credenziali concedono l'autenticazione richiesta per stabilire la connettività tra l'origine evento e CA User Activity Reporting Module.

3. Verificare la registrazione.
   1. Aprire eventvwr dalla finestra di dialogo Esegui.

      Viene visualizzato il Visualizzatore eventi.

   2. Espandere Registri di Windows e fare clic su Protezione.

      Viene visualizzata la seguente schermata indicante che la registrazione è in corso.

   

Per abilitare la raccolta diretta degli eventi dalle origini evento di Windows

1. Selezionare la scheda Amministrazione e la sottoscheda Raccolta registri.
2. Espandere Gestione agenti da Gestione raccolta log ed espandere il gruppo agenti contenente l'agente predefinito di CA User Activity Reporting Module.
3. Selezionare un agente predefinito, ovvero un agente con il nome del server CA User Activity Reporting Module.

   È possibile eseguire la distribuzione di connettori diversi sull'agente predefinito.

4. Fare clic su Crea nuovo connettore.

   

   Viene aperta la creazione guidata nuovo connettore con il passaggio Dettagli connettore selezionato.

5. Selezionare un'integrazione che utilizza il sensore log WinRM dall'elenco a discesa Integrazione.

   Ad esempio, selezionare WinRM.

   

   Il campo Nome connettore viene compilato con WinRM_Connector.

6. (Facoltativo) Fare clic su Applica regole di soppressione a, quindi selezionare le regole associate agli eventi supportati.
7. Fare clic su Configurazione connettore e selezionare il collegamento della Guida in linea.

   Le istruzioni includono la configurazione del sensore CA User Activity Reporting Module--WinRM.

   

8. Per la configurazione del sensore, attenersi alle procedure riportate nella guida al connettore. Immettere l'indirizzo IP piuttosto che il nome host dell'host configurato per la Gestione remota Windows. Il nome utente e la password corrispondono alle credenziali aggiunte durante la configurazione della Gestione remota Windows.

   Di seguito viene riportato un esempio:

   

9. Fare clic su Salva, quindi su Chiudi.
10. Il nuovo nome del connettore viene visualizzato sotto l'agente in Gestione agenti.

    

11. Fare clic su WinRM_Connector per visualizzare i dettagli di stato.

    Inizialmente, lo stato visualizzato è Configurazione in sospeso. Attendere che lo stato sia In esecuzione.

    

12. Fare clic su Esegui per ottenere dati di aggregazione come EPS (eventi per secondo).

    

Verificare che l'agente predefinito stia eseguendo la raccolta degli eventi dall'origine evento di destinazione

1. Selezionare la scheda Query e rapporti. Viene visualizzata la sottoscheda Query.
2. Espandere Prompt in Elenco query e selezionare Connettore.
3. Immettere il nome del connettore e fare clic su Vai a.
4. Visualizzare gli eventi raccolti.

Ulteriori informazioni:

Origini eventi per Raccolta registro diretta