Windows操作系统维护几种类型的事件日志。其中之一是“转发事件”事件日志。此日志记录由同一网络中其他计算机(“源计算机”)将其事件转发到“收集器计算机”的事件。通过使用转发事件日志,您可以从一个中央位置跟踪其他几台计算机的事件日志。

为了使用转发事件日志,您必须配置源计算机和收集器计算机。在每台源计算机上,从提升权限命令提示符下运行以下命令:

C:\> winrm quickconfig

您还必须将收集器计算机的计算机帐户添加到每台源计算机上的本地Administrators组中。

然后在收集器计算机上,从提升权限命令提示符处运行以下命令:

C:\> wecutil qc

最后,必须建立订阅,以便计算机知道要在收集器计算机上收集哪些事件。在收集器计算机上执行以下步骤:

。以管理员身份,启动事件查看器,然后在导航窗格中单击“订阅”。

。在“操作”窗格中,单击“创建订阅”。

。根据下图填写您的订阅详细信息。

(请参见图1。)

现在,在源计算机上发生的指定事件将被转发到“转发事件”日志,您可以在其中从一台计算机上分析所有事件。

本技巧(12878)适用于Windows 7、8和10。