Es gibt verschiedene Arten von Ereignisprotokollen, die vom Windows-Betriebssystem verwaltet werden. Eines davon ist das Ereignisprotokoll für weitergeleitete Ereignisse. Dieses Protokoll zeichnet Ereignisse auf, die von anderen Computern im selben Netzwerk („Quellcomputer“) geschrieben wurden, die ihre Ereignisse an den „Kollektorcomputer“ weitergeleitet haben. Mithilfe des Protokolls „Weitergeleitete Ereignisse“ können Sie die Ereignisprotokolle mehrerer anderer Computer von einem zentralen Ort aus verfolgen.

Um das Protokoll für weitergeleitete Ereignisse verwenden zu können, müssen Sie die Quellcomputer und den Kollektorcomputer konfigurieren. Führen Sie auf jedem Quellcomputer den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Berechtigungen aus:

C:\> winrm quickconfig

Sie müssen außerdem das Computerkonto des Collector-Computers zur lokalen Administratorgruppe auf jedem der Quellcomputer hinzufügen.

Führen Sie dann auf dem Collector-Computer den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Berechtigungen aus:

C:\> wecutil qc

Schließlich müssen Sie ein Abonnement einrichten, damit die Computer wissen, welche Ereignisse auf dem Collector-Computer erfasst werden sollen. Führen Sie die folgenden Schritte auf dem Kollektorcomputer aus:

  1. Starten Sie als Administrator die Ereignisanzeige und klicken Sie im Navigationsbereich auf Abonnements.

  2. Klicken Sie im Bereich Aktionen auf Abonnement erstellen.

  3. Geben Sie die Details Ihres Abonnements gemäß der folgenden Abbildung ein.

(Siehe Abbildung 1.)

Jetzt werden die angegebenen Ereignisse, die auf den Quellcomputern auftreten, an das Protokoll „Weitergeleitete Ereignisse“ weitergeleitet, in dem Sie sie alle von einem Computer aus analysieren können.

Dieser Tipp (12878) gilt für Windows 7, 8 und 10.