Documentation sur la fonctionnalité de centralisation des journaux d'événements

Via la fonctionnalité "Windows Event Collector" incluse dans Windows, il est possible de collecter le contenu (ou une partie seulement via des filtres) des journaux d'événements de vos serveurs vers un serveur central en créant des souscriptions ("subscriptions").  Deux modes de souscriptions sont disponibles :

  • "collector-initiated subscription":  le serveur de collecte contacte chaque serveur pour récupérer les événements.
  • "source-initiated subscription": chaque serveur contacte le collecteur pour lui pousser les événements.

Ce dernier mode est le plus couramment utilisé et est facile de mise en oeuvre. Néanmoins, si les serveurs "source" ne sont pas dans le même domaine que le serveur de collecte (vrai également pour le cas des serveurs en "workgroup" ou dans des forêts sans relation d'approbation), la mise en oeuvre de cette fonctionnalité va s'appuyer alors sur des certificats. Malheureusement, sa mise en oeuvre peut s'avérer difficile car les documentations disponibles sur Technet et MSDN sont incomplètes.

Suite aux difficultés de mise en oeuvre rencontrées par de nombreux clients à travers l'Europe, nous avons fait publier le blog suivant qui contient tous les étapes à suivre pour  mettre en oeuvre une "source-initiated subscription" :

 

https://blogs.technet.microsoft.com/supportingwindows/2016/07/18/setting-up-a-source-initiated-subscription-on-an-event-collector-computer/