很多人都会问这样的问题，如何集中不同计算机的事件查看器产生的日志?因为微软解决方案并不提供这个功能，因此我们过去只能使用第三方产品。不过现在发布的Windows Server 2008和windows Vista让集中化日志记录成为可能。如果你没有Windows Server 2008和windows Vista，那也不用担心，因为微软公司将日志记录集中化管理的功能也向后兼容到了Windows Server3和Windows XP客户端。没错，只要你有Windows Server 2008或者windows Vista，你就能为Windows计算机进行集中日志管理。

　　进行集中日志管理的计算机要求和配置

　　任何Windows Server 2008或者windows Vista都可以成为你的集中日志计算机，这就意味着，你在Windows Server 2008、Windows Server 2003、Windows Vista或者Windows XP等计算机上配置的所有日志都可以发送到集中日志计算机进行一站式处理。

　　如果你希望利用你的Windows Server 2008或者windows Vista来集中处理日志，真的不需要进行太多的工作，不过你至少需要将计算机配置为支持日志，你可以通过从提升的命令提示符中运行一些命令来实现。

　　注意：

　　当用户帐户控制(User Account Control)已经启用时，命令提示符必须被提升。

　　你需要运行的第一个命令将在计算机上建立远程管理器(Remote Management)，就是以下命令：　

winrm qc

　　该命令将会生成一个响应信息，告诉你某些任务需要由系统来执行，你只需要确认“Yes”，该信息可以在图1中看到。

　　注意：

　　如果你在命令结尾处使用-q switch，命令和行动将自动安静的进行执行。

图1：在Windows Vista计算机上配置远程管理

　　当你输入Y来进行更改时，将会立即显示结果告诉你操作成功。

　　第二个命令将会配置Event Collector服务，这个命令很类似，但是可以控制Event Collector服务：　

wecutil qc /q

　　再一次，你会收到操作成功的确认信息。

　　集中日志管理的计算机要求和配置

　　如果你使用Windows Server 2008 或者Windows Vista作为源计算机，那么你只需要运行一个命令让计算机随时准备向中央日志计算机发送信息，使用的命令与上文中所说的安装远程管理器的命令相同：　

winrm qc –q

　　如果你使用的是Windows Server 2003或者 XP，你将需要为操作系统下载并安装远程管理的Forwarding部分。

　　注意：

　　在正确配置发送日志功能时，你必须在Windows Server 2003上安装SP1，Windows XP系统上安装SP2。

　　安装好后，接着你再执行相同的远程管理配置字符串。　

winrm qc –q

　　注意：

　　你必须具备管理权限才能执行此配置。

　　你可以通过启动Event Viewer来检查配置情况，当开启Event Viewer，你需要查看以下名为Microsoft-Windows-Forwarding/Operational新节点，如图2所示。

图2：Event Viewer中的 Windows XP转发日志