Damit weitergeleitete Ereignisse auf einem Computer empfangen werden können, müssen Sie mindestens ein Ereignisabonnement einrichten. Vor dem Einrichten eines Abonnements müssen Sie sowohl die Computer konfigurieren, die die weitergeleiteten Ereignisse empfangen, als auch diejenigen, die sie weiterleiten. Weitere Informationen über die Konfiguration der Computer erhalten Sie unter Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen.

Nachdem Sie die Computer konfiguriert haben, können Sie ein Abonnement einrichten, um anzugeben, welche Ereignisse gesammelt werden sollen.

So erstellen Sie ein neues Abonnement

  1. Führen Sie auf dem Sammlungscomputer die Ereignisanzeige als Administrator aus.

  2. Klicken Sie in der Konsolenstruktur auf Abonnements.

    Hinweis

    Wenn der Windows-Ereignissammlungsdienst nicht gestartet ist, werden Sie dazu aufgefordert zu bestätigen, dass Sie ihn starten möchten. Damit Abonnements erstellt und Ereignisse gesammelt werden können, muss dieser Dienst gestartet sein. Sie müssen Mitglied der Gruppe Administratoren sein, um diesen Dienst zu starten.

  3. Klicken Sie im Menü Aktionen auf Abonnement erstellen.

  4. Geben Sie in das Feld Abonnementname einen Namen für das Abonnement ein.

  5. Geben Sie in das Feld Beschreibung eine optionale Beschreibung ein.

  6. Wählen Sie im Feld Zielprotokoll die Protokolldatei aus, in der erfasste Ereignisse gespeichert werden sollen. Standardmäßig werden die gesammelten Ereignisse im Protokoll ForwardedEvents gespeichert.

  7. Klicken Sie auf Hinzufügen und wählen Sie die Computer aus, von denen Ereignisse gesammelt werden sollen.

    Hinweis

    Nachdem Sie einen Computer hinzugefügt haben, können Sie die Verbindung zwischen ihm und dem lokalen Computer überprüfen, indem Sie den Computer markieren und auf Testen klicken.

  8. Klicken Sie auf Ereignisse auswählen, um das Dialogfeld Abfragefilter einzublenden. Geben Sie mithilfe der Steuerelemente im Dialogfeld Abfragefilter die Kriterien an, mit denen die gesammelten Ereignisse übereinstimmen müssen.

  9. Klicken Sie auf OK, um das Dialogfeld Abonnementeigenschaften zu schließen. Das Abonnement wird im Bereich Abonnements hinzugefügt. Wenn der Vorgang erfolgreich war, ist der Status des Abonnements Aktiv.

Ereignisse auf dem weiterleitenden Computer, die mit den Kriterien des Abonnements übereinstimmen, werden in das in Schritt 6 angegebene Protokoll auf dem Sammlungscomputer kopiert.

Weitere Überlegungen

  • Die Ereignisanzeige kann nicht zum Erstellen eines Abonnements verwendet werden, während sie mit einem Remotecomputer verbunden ist.

  • Sie können den Filter einer zuvor angelegten benutzerdefinierten Sicht verwenden, indem Sie Von der vorhandenen benutzerdefinierten Ansicht kopieren auswählen. Außerdem können Sie eine XPATH-Abfrage in das Textfeld auf der Registerkarte XML des Dialogfelds Abfragefilter kopieren.

  • Wenn ein neu erstelltes Abonnement nicht aktiv ist, können Sie das Dialogfeld Abonnementeigenschaften öffnen und die einzelnen Quellcomputer auswählen, um den jeweiligen Status anzuzeigen.

Weitere Verweise

Inhaltsverzeichnis