Операционная система Windows поддерживает несколько типов журналов событий. Одним из них является журнал событий переадресации. В этот журнал записываются события, записанные другими компьютерами в той же сети («исходными компьютерами»), которые перенаправили свои события на «компьютер-сборщик». Используя журнал переадресованных событий, вы можете отслеживать журналы событий нескольких других компьютеров из одного центрального места.

Чтобы использовать журнал переадресованных событий, необходимо настроить исходные компьютеры и компьютер-сборщик. На каждом исходном компьютере выполните следующую команду из командной строки с повышенными разрешениями:

C:\> winrm quickconfig

Вы также должны добавить учетную запись компьютера-сборщика в локальную группу администраторов на каждом из исходных компьютеров.

Затем на компьютере-сборщике выполните следующую команду из командной строки с повышенными разрешениями:

C:\> wecutil qc

Наконец, вы должны установить подписку, чтобы компьютеры знали, какие события нужно собирать на компьютере-сборщике. На компьютере-коллекторе выполните следующие действия:

  1. В качестве администратора запустите средство просмотра событий и щелкните Подписки на панели навигации.

  2. На панели Действия щелкните Создать подписку.

  3. Введите данные вашей подписки, как показано на следующем рисунке.

(См. Рис. 1.)

Теперь указанные события, происходящие на исходных компьютерах, будут перенаправляться в журнал переадресованных событий, где вы можете анализировать их все с одного компьютера.

Этот совет (12878) применим к Windows 7, 8 и 10.