При настройке функционала централизованного сбора событий на сервере столкнулся со следующей проблемой. После того как в Event Viewer — Subscription Properties выбрать тип подписки как Collector Initiated и выбора одного или нескольких серверов в качестве источника событий, при попытке сохранить подписку, система выдает следующее предупреждение и не дает сохранить настройки:
The system cannot find the file specified
Поиск на сайте Microsoft не принес результатов. Пришлось разбираться самому. Оказалось, что если компьютер-источник (Forwarding Computer), указанный в настройках Subscription недоступен, а в моем случае он был просто выключен, тогда возникает то самое предупреждение при нажатии кнопки Ок.
Чтобы решить проблему пришлось включить Forwarding Computer и произвести все необходимые настройки для пересылки событий (Event Forwarding) на компьютер-коллектор (Collecting Computer) и по новой произвести на нем процедуру подписки. Для настройки Forwarding Computer необходимо выполнить следующее:
- Включить функционал Windows Remote Management командой winrm quickconfig;
- Поместить Collecting Computer в локальную группу Event Log Readers командой net localgroup «Event Log Readers» $@ /add.
