Windows 2008 R2サーバーで転送されたイベントを(サブスクリプション経由で)保存するためにカスタムログジャーナルを使用しようとすると、問題が発生します。カスタムログは「有効な宛先ログ」ではないと説明されています。
現在、組み込みのイベント転送および収集機能(WS-managementおよびwecutilを介して)を使用してWindowsイベントを集中化するためのアーキテクチャーをセットアップしています。
私の要件の1つは、コレクターマシンで複数のサブスクリプションを作成し、転送されたイベントを別のログファイルに保存できることです。そのために、カスタムログ(CustomLogと呼ばれる)の作成をテストしました。このログは、イベントビューアの[アプリケーションとサービスログ]カテゴリの下に表示されます。
ただし、転送されたイベントをこのCustomLogにリダイレクトできません。イベントビューアのユーザーインターフェイスでサブスクリプションを作成するときに、CustomLogが可能な宛先のリストに表示されません。
何が問題なのかを試すために、デフォルトのForwardedEventsを宛先として残し、Powershellを介して変更しようとしました。宛先ログをCustomLogとして設定することになっている次のコマンドを実行しました。
wecutil ss "Collect from both sources" /lf:CustomLog
エラーなしで実行されました。ただし、CustomLogにイベントが記録されておらず、GUIに戻ってサブスクリプションを作成/変更し、設定したサブスクリプションを開こうとすると、次のようなポップアップが表示されます。
このサブスクリプションで定義されている宛先ログが、このコンピューターの有効な宛先ログのリストに見つかりません。このログがコンピューターに存在し、転送されたイベントの宛先として有効であることを確認してください。クラシックログ、分析ログ、デバッグログ、およびセキュリティログは宛先として使用できないことに注意してください。
「有効な宛先ログ」とは何か、また、CustomLogをそのような有効な宛先に変換する方法を知っている人はいますか?