Usando o recurso de Collector Initiated subscription no visualizador de eventos, podemos com o uso do Windows Remote Management (WinRM) encaminhar determinados eventos de um computador com Windows Server Core para um computador que executa uma versão completo do Windows a fim de facilitar a leitura.

O Winrm habilita o gerenciamento remoto através do HTTP usando o WS-Management protocol. Criando um listener (ouvinte) na porta 5985 no Windows Server 2008 R2, no Windows Server 2008 a porta padrão é a porta 80:

Neste cenário, vamos utilizar dois servidores:
Windows Server 2008 R2 Server Core  – Membro do domínio
Windows Server 2008 R2 – Controlador de domínio.

Logado como administrador no Windows Server 2008 Server Core execute o comando:
Winrm quickconfig
ou simplesmente
winrm qc
Pressione Y quando solicitado.

Digite:
winrm enumerate winrm/config/listener
Para listar informações sobre o Listener.

O Winrm já configurou o firewall para o o listener, porém a fim de fazer uso do recurso de colletor do event viewer é necessário permitir no firewall a administração remota.

netsh firewall set service type=remoteadmin mode=enable

No servidor com a instalação completa do Windows Server 2008 R2, abra o “Event Viewer”

Start / Run / Event Viewer

No menu lado esquerdo, clique em Subscriptions e em seguida clique YES para iniciar o serviço “Windows Event Collector” 

No lado direito clique em “Create Subscription”, forneça um nome e descrição.
Em destination Logs é interessante deixar o padrão que é “Forwarded Events”.

 Em seguida clique em “Select Computers”.
Selecione o computador de seu domínio e clique em Test para verificar a conectividade:
Note que pode haver mais computadores, vamos adicionar apenas um para entender a funcionalidade.
Clique OK.

 Clique no botão “Select Events” 
Aqui você pode fazer o filtro que desejar, para todos os tipos de eventos.
Neste exemplo eu selecionei avisos e erros dos eventos de “Aplicação e Sistema”

Após selecionar os eventos clique OK e clique em Advanced.
Selecione a opção “Specific User” e forneça um usuário com credenciais para ler logs.

Você pode criar um usuário específico e adiciona-lo ao grupo Event Log Readers

Você também pode adicionar a conta de computador ao grupo.
Neste exemplo vou utilizar a credencial do Administrador.

 Clique OK

 Agora você pode visualizar os logs do computador remoto, clicando em “Forwarded Logs”.




 

Este artigo foi originalmente escrito por:

Daniel Donda

Leader UGSS Mcsesolution (GITCA)

MCITP Enterprise, MCP, MCSA, MCSE, MCT, MCSE Messaging / Security

Colaborador do MCPBrasil.com 

--------

Donda's site: http://www.mcsesolution.com

Twitter: http://twitter.com/danieldonda