Có một số loại nhật ký sự kiện được duy trì bởi hệ điều hành Windows. Một trong số đó là nhật ký sự kiện Sự kiện được chuyển tiếp. Nhật ký này ghi lại các sự kiện được ghi bởi các máy tính khác trong cùng một mạng (“máy tính nguồn”) đã chuyển tiếp các sự kiện của chúng tới “máy tính bộ sưu tập”. Bằng cách sử dụng nhật ký Sự kiện được chuyển tiếp, bạn có thể theo dõi nhật ký sự kiện của một số máy tính khác từ một vị trí trung tâm.

Để sử dụng nhật ký Sự kiện được chuyển tiếp, bạn phải định cấu hình máy tính nguồn và máy tính bộ sưu tập. Từ mỗi máy tính nguồn, hãy chạy lệnh sau từ dấu nhắc lệnh quyền cấp cao:

C:\> winrm quickconfig

Bạn cũng phải thêm tài khoản máy tính của máy tính thu thập vào nhóm Quản trị viên cục bộ trên mỗi máy tính nguồn.

Sau đó, trên máy tính bộ sưu tập, chạy lệnh sau từ dấu nhắc lệnh quyền cấp cao:

C:\> wecutil qc

Cuối cùng, bạn phải thiết lập một đăng ký để các máy tính biết sự kiện nào sẽ được thu thập trên máy tính thu thập. Thực hiện các bước sau trên máy tính bộ sưu tập:

  1. Với tư cách là quản trị viên, hãy khởi chạy Trình xem sự kiện và nhấp vào Đăng ký trong ngăn điều hướng.

  2. Trong ngăn Hành động, bấm Tạo Đăng ký.

  3. Điền vào chi tiết đăng ký của bạn theo hình sau.

(Xem Hình 1.)

Giờ đây, các sự kiện được chỉ định xảy ra trên máy tính nguồn sẽ được chuyển tiếp đến nhật ký Sự kiện được chuyển tiếp, nơi bạn có thể phân tích tất cả chúng từ một máy.

Mẹo này (12878) áp dụng cho Windows 7, 8 và 10.