Comment collecter les journaux des applications et des services à partir des journaux d'événements Windows

Comment collecter les journaux d'applications et de services à partir des journaux d'événement Windows ?

AppLogs Site24x7 utilise la requête Windows Management Instrumentation (WMI) sur l'agent de surveillance de serveur Site24x7 pour extraire les journaux d'événements. Le module WMI nécessite l'entrée de registre ci-dessous pour lire les journaux d'événements à partir du groupe Journaux d'applications et de services.

Exécution de la requête WMI

Vous devez d'abord confirmer si vous pouvez accéder au fichier journal via Win32_NTLogEvent à l'aide de la requête WMI dans PowerShell. Il s'agit de la même requête que l'agent de surveillance de serveur Site24x7 exécute pour collecter les événements.

Requête : Get-WmiObject -Query "Select EventCode,SourceName,TimeGenerated,Type,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

LogFileName est le nom de la catégorie d'événements que vous souhaitez collecter.
Dans ces exemples,  LogFileName peut être Microsoft-Windows-PrintService/Admin ou Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
S'il cette requête ne renvoie aucun résultat, le fichier journal n'est peut-être pas accessible et vous devez l'ajouter via le registre Windows.

Notes
L'entrée de registre n'est pas obligatoire pour toutes les catégories de type d'événements dans le groupe Journaux d'applications et de services. Vérifiez si votre entrée est présente dans WMI, sinon ajoutez-la.

Ajout dans le registre Windows

Vous pouvez ajouter des fichiers de journaux d'événements via le registre Windows. Pour cela, vous devez accéder au registre Windows sur votre appareil Windows et trouver l'emplacement du registre.

Emplacement du registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Par exemple, si vous souhaitez collecter les journaux de la catégorie Microsoft-Windows-PrintService/Admin, vous devez ajouter la clé ci-dessous dans le registre Windows.
Clé de registre : Microsoft-Windows-PrintService/Admin




Lorsque vous fournissez la clé de registre, saisissez la valeur Canal en tant que chaîne complète dans le registre. Suivez ces étapes :
  1. Accédez à Visionneuse d'événements > Journaux d'applications et de services
  2. Sélectionnez la catégorie requise sous vos applications.
  3. Cliquez sur l'onglet Détails.
  4. Développez la section Système.
  5. Copiez la valeur Canal, comme indiqué dans la capture d'écran ci-dessous.
  6. Utilisez cette valeur Canal en tant que clé de registre lors de l'ajout dans le registre Windows, comme indiqué dans la capture d'écran ci-dessus.


Une fois l'ajout au registre Windows effectué, exécutez la requête WMI mentionnée dans la section « Exécution de la requête WMI », en utilisant <LogFileName> en tant que clé de registre créée ci-dessus.
Vous devez saisir cette clé de registre lors de l'ajout ou de la modification d'un profil de journal pour les journaux d'événements Windows. Pour ce faire :
  1. Connectez-vous à Site24x7 et accédez à Administration > AppLogs > Profil de journal et cliquez sur Journaux d'événements Windows
  2. Dans la fenêtre Modifier le profil de journal qui s'ouvre, collez la clé de registre dans le champ situé près de Types d'événements Windows.
  3. Cliquez sur Enregistrer.


Pour prendre un autre exemple, si vous souhaitez collecter des journaux dans la catégorie RemoteConnectionManager/Operational, saisissez la clé ci-dessous.
Clé de registre : Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Dans ce cas, collez la clé ci-dessus dans le champ situé près de Types d'événements Windows pour collecter les journaux du gestionnaire de contrôle à distance.


Vous pouvez également coller les clés requises près du champ Types d'événements Windows dans le Profil du journal pour collecter d'autres journaux d'applications et de services à partir des journaux d'événements Windows.