IT biriminde çalışanların herhangi bir sorunla karşılaştıklarında kontrol edeceği yerlerin başında hiç şüphe yokki event loglar geliyor. Fakat çeşitli warningler ya da error mesajları çoğu zaman sunucuda hissedilebilir bir problem olmadan fark edilemiyor. Bu sebeple sunucular üzerindeki logları toplamak ve analiz etmek için şirketler çeşitli programlar kullanıyorlar. Microsoft da bu ihtiyaca binaen sunucular üzerindeki logların tek bir yerde toplanmasını sağlayacak bir geliştirmeyi Windows 2008 sistemlerinde kullanılabilir hale getirdi.
Öncelikle “Event Forwarding Subscription” oluşturacağız. Sonrasında “WinRM Group Policy” ayarını yapacağız. Son olarak “Event Forward Group Policy” ayarını yaparak bitireceğiz.
Create subscription seçeneği ile event forwarding işlemimize başlıyoruz.
Burada iki seçeneğimiz var. Bunlardan birinde event forwardı collector yani bu senaryoda Windows 2008 sunucumuz yapacak. Ya da eventlerın kaynak tarafı yani client makineler yapacaklar. Şirketiniz domain yapısı olduğunu ve group policylerle ayarlarınızı gönderdiğinizi düşünerek Soruce comupter initiated seçeneğini seçip kaynak (client) makineleri seçiyoruz.
Burada makine eklemek için iki seçenek mevcut. Biri domain computers diğeri ise non-domain computers. Bu da demek oluyorki gerekli credentiallarımız var ise domain haricinden bir bilgisayardan da eventları toplayabileceğimizdir.
Alt kısımda bulunan certificates ise biraz daha ileride göreceğimiz secure event forwarding işlemi oluyor. Şirket içinde olabilecek sniff ataklara karşı eventların iletiminde bir sertifika kullanabilirsiniz.
Sunucularımızı ekledikten sonra Select Events… butonu ile gelen eventlerde filtre uygulayarak çok fazla event bilgisinden kurtulup sadece ilgili eventlerın analizine yoğunlaşabiliriz.
Açılan ekranda gördüğünüz üzere sadece error mesajlarının gelmesini son 7 gün veya çeşitli zaman aralıklarının belirlenmesi mümkün. By log ve by source kısmında ise eventların tipiyle ilgili sınıflandırma yapabileceğimiz gibi eventlerın kaynak kısmına göre filtre de uygulayabiliriz.
Son olarak advanced kısmına giriyoruz.
Event ulaştırma seçeneklerinde 3 farklı ayar var. Bunları priority olarak da düşünebiliriz. Minimize Latency seçeneği ile eventların bir an önce collector tarafında toplanmasını sağlamış oluyoruz.
Daha önce de belirttiğim gibi eventların iletimi sırasında HTTPS protokolünü kullanmamız mümkün.
Subscriptionumuzu ekledikten sonra client makinelerdeki ayar için group policy kullanacağız. Kullanacağımız kısımlar üstteki resimde kare içine alınmıştır.
WinRM Service altında Allow automatic configuration of listeners seçeneğinin özelliklerine girerek enable yapıyoruz. Bu ayarda ip bazlı kısıtlamayı daha çok internet üzerindeki makinelerde veya group policynin ulaşamadığı yerlerde kullanmanız öneriliyor.
Group policy ile ulaşılamayan makinelerde aşağıdaki komut ile ayarlamayı yapabilirsiniz.
“winrm quickconfig” (bu komutla makinenizin uzaktan winrm servis yönetimine izin vermiş oluyorsunuz.)
Son olarak group policy kısmında event forwardinge giriyoruz. Ve configure the server address ile başlayan –ki zaten tek ayar var – policymizin özelliklerine giriyoruz.
Subscription manager olarak hangi makinenin kullanılacağı bilgisini veriyoruz. Policymizi enable ederek add diyoruz ve Windows 2008 makinemizi giriyoruz.
Böylece Windows 2008 üzerinden Forwarded Events kısmında client makinelerimizden gelen ve filtremize uyan mesajları görebiliriz.
Yaptığımız ayarların çalışıp çalışmadığını görebilmek için event gelmesini bekleyebilir veya denemek için kaynak yani client makine üzerinde denemek için bir event oluşturabiliriz.
Bunun için komut aşağıdaki gibidir.
eventcreate /id 1111 /t error /l application /d “Deneme”
Bu komutla sunucu üzerinde 1111 id ye sahip bir application error event oluşturabilir ve collector tarafına gelip gelmediğini kontrol edebiliriz.
WinRM ile client makineye ulaşamadığınız durumlarda bunu force etmenin yolu var. Bunun için collector üzerinde şunu çalıştırabilirsiniz.
winrm id /r:<Source Computer> /a:none
Makalenin başında dediğim gibi IT tarafında çalışan bizler için event logların önemi büyük. Eventları sunucunun kullanıcı ile konuştuğu yer olarak algılayabilirsiniz. Birkaç sunucu olan sistemlerde belki böyle merkezi bir ortam kurmak gereksiz gelebilir fakat sunucu sayısı arttıkça eğer 3rd party bir log manage yazılımı kullanmıyorsanız Windows 2008 ile gelen bu özelliği kullanmanız işinize yarayabilir. Umarım faydalı olmuştur. Sonraki makalemde görüşmek dileği ile…
