Feb 14 2011

Event collector Windows 2008: Clients XP et 2003

Nous allons voir dans ce post comment mettre en place un serveur Event Collector sous Windows 2008 pour lire les données du journal d’événements  venant d’un client Windows XP ou Windows server 2003. Le système d’event forwarding ou syslog se base sur WinRM, il existe à ce jour deux versions de l’outil, la v1.1 et la v2.0, ces deux versions utilisent des ports de communication différents (80 HTTP + 443 HTTPS pour WinRM v1.1, 5985 HTTP + 5986 HTTPS pour WinRM v2.0). Je vous conseille donc de mettre à jour vos OS Windows XP et 2003 vers la version 2.0 de WinRM pour utiliser le système d’event forwarding. Pour plus de détails sur le fonctionnement de WinRM je vous conseille cet article.

Une fois vos clients configurés et votre serveur Event Collector en place, les clients commencent à envoyer au serveur les événements auquel ce dernier a souscrit dans le journal Forwarded Events. La description de certains événements envoyés par un client XP ou 2003 à un serveur 2008 peut ne pas correctement s’afficher. Vous aurez alors ce type de description  pour l’event posant problème: 

The description for Event ID ( %ID% ) in Source ( %SOURCE% ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer 

Cela vient du fait que l’exécutable ou la DLL assurant la traduction de ce message sur l’ordinateur local (i.e. l’event collector Windows 2008 server), n’est pas présente ou possède une version incompatible avec la version du même exécutable ou DLL  en charge de lire les événement de même source sur le client (Windows XP ou Windows 2003).

La solution pour résoudre ce problème est donnée dans ce post de Event Log Blog. Dans notre cas, le message concernait la source  %SOURCE%  = KmsRequests du journal Key Management Services. Nous avons donc vérifié que le clef HKLM\System\CurrentControlSet\Services\Eventlog\Key Management Services\KmsRequests existait:

Ce qui était le cas, cependant on constate que l’exécutable sppsvc.exe donné par la valeur de EventMessageFile, possède une version différente entre le client XP/ 2003 et le serveur 2008:

Nous avons donc copié l’exécutable sppsvc.exe du client XP/2003 sur le serveur Event Collector dans le répertoire C:\XP2003clients et modifié la valeur EventMessageFile de la clef HKLM\System\CurrentControlSet\Services\Eventlog\Key Management Services\KmsRequests de la manière suivante:

Une fois le serveur Event Collector rebooté la description des événements forwardés par le client XP-2003 est bien interprétée:

Vous pourrez alors, par exemple, traiter le contenu de la description de l’event en Powershell avec le cmdlet Get-WinEvent.

This post is also available in: Anglais

No Comments

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

*

WordPress Themes

Blossom Icon Set

Software Top Blogs