Me encuentro con un problema al intentar usar un diario de registro personalizado para almacenar eventos reenviados (mediante suscripción) en un servidor Windows 2008 R2, y el registro personalizado se describe como un "registro de destino válido".
Actualmente estoy configurando una arquitectura para centralizar eventos de Windows utilizando las capacidades incorporadas de reenvío y recopilación de eventos (a través de WS-management y wecutil).
Uno de mis requisitos es poder crear varias suscripciones en la máquina recopiladora y almacenar eventos reenviados en diferentes archivos de registro. Para eso, probé creando un registro personalizado (llamado CustomLog). Este registro aparece en el Visor de eventos, en la categoría "Registros de aplicaciones y servicios".
Sin embargo, no puedo redirigir eventos reenviados a este CustomLog. CustomLog no aparece en la lista de posibles destinos al crear una suscripción en la interfaz de usuario del Visor de eventos.
Para probar lo que podría estar mal, lo dejé con los ForwardEvents predeterminados como destino e intenté cambiarlo a través de Powershell. Ejecuté el siguiente comando, que se supone que establece el registro de destino como CustomLog:
wecutil ss "Collect from both sources" /lf:CustomLog
Funcionó sin error. Sin embargo, no se registran eventos en CustomLog, y cuando vuelvo a la GUI para crear / modificar suscripciones e intento abrir la suscripción que configuré, aparece una ventana emergente que indica lo siguiente:
El registro de destino definido en esta suscripción no se puede encontrar en la lista de registros de destino válidos en esta computadora. verifique que este registro exista en la computadora y que sea válido como destino para los eventos reenviados. Tenga en cuenta que los registros clásicos, los registros analíticos y de depuración y el registro de seguridad no se pueden usar como destino.
¿Alguien sabe qué es un "registro de destino válido" y cómo podría convertir mi CustomLog en un destino tan válido?