Qu'est-ce qu'un journal de destination valide pour le transfert d'événements Windows

Je rencontre un problème lorsque j'essaie d'utiliser un journal de journal personnalisé pour stocker des événements transférés (via un abonnement) sur un serveur Windows 2008 R2, le journal personnalisé étant décrit comme n'étant pas un «journal de destination valide».

Je suis en train de mettre en place une architecture pour centraliser les événements Windows en utilisant les capacités intégrées de transfert et de collecte d'événements (via WS-management et wecutil).

L'une de mes exigences est de pouvoir créer plusieurs abonnements sur la machine du collecteur et de stocker les événements transférés dans différents fichiers journaux. Pour cela, j'ai testé la création d'un journal personnalisé (appelé CustomLog). Ce journal apparaît dans l'Observateur d'événements, sous la catégorie "Journaux des applications et des services".

Cependant, je ne suis pas en mesure de rediriger les événements transférés vers ce CustomLog. CustomLog n'apparaît pas dans la liste des destinations possibles lors de la création d'un abonnement dans l'interface utilisateur de l'Observateur d'événements.

Pour essayer ce qui pourrait être faux, je l'ai laissé avec les ForwardedEvents par défaut comme destination et j'ai essayé de le changer via Powershell. J'ai exécuté la commande suivante, qui est censée définir le journal de destination en tant que CustomLog:

wecutil ss "Collect from both sources" /lf:CustomLog

Il a fonctionné sans erreur. Cependant, aucun événement n'est enregistré dans CustomLog, et lorsque je reviens à l'interface graphique pour créer / modifier des abonnements et que j'essaie d'ouvrir l'abonnement que j'ai défini, j'obtiens une fenêtre contextuelle indiquant ce qui suit:

Le journal de destination défini dans cet abonnement est introuvable dans la liste des journaux de destination valides sur cet ordinateur. vérifiez que ce journal existe sur l'ordinateur et est valide comme destination pour les événements transférés. Notez que les journaux classiques, les journaux d'analyse et de débogage et le journal de sécurité ne peuvent pas être utilisés comme destination.

Quelqu'un sait-il ce qu'est un «journal de destination valide» et comment je pourrais transformer mon CustomLog en une destination aussi valide?

Le blog Microsoft suivant détaille les étapes de création de fichiers journaux distincts. En fait, vous pouvez créer n'importe quel nombre de fichiers journaux. Je viens de terminer les étapes et je peux confirmer que cela fonctionne sur Windows 10.

Création de journaux de transfert d'événements Windows personnalisés

Pour aller plus loin, j'ai trouvé le blog Microsoft suivant utile pour configurer une architecture à plusieurs niveaux.

Surveillance des clients bricolage - Configuration de la transmission d'événements à plusieurs niveaux

wecutil permet d'utiliser un fichier XML pour fournir des informations de configuration. Vous pouvez essayer de placer CustomLog comme destination cible.

Voir https://msdn.microsoft.com/en-us/library/windows/desktop/bb736545(v=vs.85).aspx

Il contient un exemple de fichier XML que vous pouvez utiliser

Veuillez également consulter https://social.technet.microsoft.com/Forums/windowsserver/en-US/5347c4fe-5163-4b16-ab69-9fd52694a7f4/event-forwarding-to-a-custom-log-on-event- collecteur-source-initié? forum = winservergen

Cela suggère que ce n'est peut-être pas possible, mais offre la solution XML en option, mais sans aucune confirmation de succès.