Tutoriel 📝 Corriger les problèmes de centralisation des journaux d'événements distribués

[Sylvain*]

Corriger les problèmes de centralisation des journaux d'événements distribués

Introduction

La gestion centralisée des journaux d’événements sous Windows 10 et Windows 11, notamment dans des environnements distribués, peut être source de complications. Les erreurs de synchronisation, la configuration inadéquate de l’abonnement ou la perte de données critiques sont fréquentes. Ce guide vous montre comment centraliser correctement les logs avec fiabilité et efficacité à l’aide de différentes méthodes.

---

Prérequis

• Connaissances de base de la Console des événements Windows

• Savoir configurer des services de collecte d’événements (Windows Event Collector)

• Disposer des droits administrateur sur les machines sources et la machine collectrice

---

Différentes Approches

• Approche #1 : Configuration manuelle via CMD

• Approche #2 : Activation des abonnements via PowerShell

• Approche #3 : Script .ps1 de déploiement à distance des abonnements

---

Niveau de difficulté

• Approche #1 : Moyen

• Approche #2 : Moyen

• Approche #3 : Avancé

---

Les Avantages

• Approche #1 : Permet un test immédiat des connexions

• Approche #2 : Commandes simples et rapides

• Approche #3 : Déploiement automatisé multi-machines

---

Les Inconvénients

• Approche #1 : Longue en cas de grand parc

• Approche #2 : Requiert la précision de chaque paramètre

• Approche #3 : Dépendance au réseau et aux droits distants

---

Approche #1

Sur la machine collectrice, activer le service de collecte

wecutil qc

Sur les machines sources, activer le service WinRM

winrm quickconfig

Configurer les règles de pare-feu pour autoriser les connexions Event Forwarding

Ajouter les machines sources au groupe Event Log Readers de la collectrice

---

Approche #2

Ouvrir PowerShell en mode administrateur

Activer et configurer WinRM sur les sources

Enable-PSRemoting -Force

Set-WSManQuickConfig -Force

Créer une subscription sur la collectrice

New-EventLogSubscription -Name "JournalSécurité" -SourceComputerName "PC01","PC02" -LogName "Security"

---

Approche #3

Créer un script .ps1 de configuration automatisée

Exemple de contenu :

$computers = @("PC01", "PC02", "PC03")
foreach ($pc in $computers) {
Invoke-Command -ComputerName $pc -ScriptBlock {
Enable-PSRemoting -Force
winrm quickconfig -force
netsh advfirewall firewall add rule name="Event Forwarding" dir=in action=allow protocol=TCP localport=5985
}
}

Créer et appliquer le fichier XML de subscription sur la collectrice

Vérifier la réception des événements dans Event Viewer > Subscriptions

---

Astuce

Utilisez les canaux personnalisés pour organiser les logs par service ou domaine afin de mieux filtrer les données reçues.

---

Mise en garde

Une mauvaise configuration de WinRM ou du pare-feu peut entraîner l’interruption de la collecte d’événements sans alerte visible.

---

Conseil

Documentez toutes les subscriptions créées et testez-les régulièrement avec des événements de test pour valider leur fonctionnement.

---

Solution alternative

• ManageEngine EventLog Analyzer

• Graylog Open Source

• Splunk Enterprise

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Github

---

Conclusion

La centralisation des journaux distribués est essentielle pour le suivi et la sécurité d’un environnement informatique. Grâce aux approches proposées via CMD, PowerShell ou scripts .ps1, vous pouvez configurer un système fiable de collecte d’événements sur vos machines. Pour des besoins étendus ou critiques, les solutions tierces comme Splunk ou Graylog offrent des interfaces plus riches et des fonctions avancées d’analyse.