無論是在審核的管理上或是其它系統(tǒng)、應(yīng)用程序的故障排除上，事件查看器是系統(tǒng)管理員最經(jīng)常會去使用到的管理工具，因此接下來筆者要針對幾個操作上的小技巧多作一些介紹。

無論是在審核的管理上或是其它系統(tǒng)、應(yīng)用程序的故障排除上，事件查看器是系統(tǒng)管理員最經(jīng)常會去使用到的管理工具，因此接下來筆者要針對幾個操作上的小技巧多作一些介紹。如圖5所示，在一般我們所開啟的事件查看器接口中，無論準(zhǔn)備針對哪一類型的事件項目進行檢視時，通常都會發(fā)現(xiàn)事件的項目琳瑯滿目，而真正所要檢視的重要事件卻可能埋藏于其中，這時候我們應(yīng)該怎么辦呢？請選擇動作窗口中的“篩選目前的記錄”鏈接繼續(xù)。

緊接著將會開啟篩選目前的記錄設(shè)定頁面，在此我們可以依照實際的需要，設(shè)定所要篩選的時間范圍、事件等級（例如：重大、警告）、事件日志（例如：安全性）、事件來源、事件編號、關(guān)鍵詞、用戶以及計算機等等來設(shè)定篩選的條件，以從眾多的事件中迅速找到我們所需要的相關(guān)事件。范例中筆者以惟一輸入事件編號5137來作為篩選的條件，選擇確定完成設(shè)定。

當(dāng)我們完成了篩選目前的記錄事件設(shè)定之后，您將會發(fā)現(xiàn)根據(jù)條件的定義，我們實際上所需要檢視的事件項目在窗口中只剩下一個。在上述的事件管理中，我們是針對本機的計算機事件類別進行篩選，以加速故障排除或?qū)徍斯芾頇z視上的效率，可是如果今天所要同時監(jiān)控管理的相關(guān)服務(wù)器或客戶端計算機不只一部時，該怎么辦呢？

相信讀者可能會聯(lián)想到使用System Center家族產(chǎn)品中的Operations Manager 2007來進行集中監(jiān)控，在一個ITIL架構(gòu)領(lǐng)域中這的確是一個最佳的解決方案，但是這畢竟是另一門技術(shù)上的領(lǐng)域與經(jīng)驗，更重要的是您還必須要有額外的信息預(yù)算編列才能夠真正做到。如果今天我們只想透過Windows Server 2008所提供的現(xiàn)有功能，來達到這項管理需求時該怎么呢？很簡單！請同樣在事件查看器的界面中選擇最下方的訂閱項目節(jié)點繼續(xù)，執(zhí)行之后將會出現(xiàn)警告訊息，然后選擇“是”即可。

然后，我們可以新增一個自定義的訂閱項目，執(zhí)行之后將會開啟訂閱內(nèi)容的頁面，首先輸入一個惟一的訂閱名稱，然后在目的地記錄文件下拉菜單中確認(rèn)選取“轉(zhuǎn)送的事件”，緊接著請選擇“選取計算機”按鈕繼續(xù)。之后在開啟了 計算機列表的頁面中，您可以選擇“新增網(wǎng)域計算機”來將所要收集事件來源的計算機一一加入即可，完成設(shè)定之后選擇確定按鈕。

接下來，在前兩個步驟的頁面中選擇“選取事件”的按鈕，接著系統(tǒng)將會開啟查詢篩選器的頁面，在此您可以針對前面所選擇的來源計算機，設(shè)定所要收集的事件篩選條件，這包括了時間范圍、事件等級、事件日志、事件來源、事件編號、用戶以及計算機等等條件即可。最后您還可以選擇進階按鈕來開啟“進階訂閱設(shè)定”頁面，來設(shè)定負(fù)責(zé)取得來源計算機事件的用戶賬戶，注意：該賬戶必須具備有網(wǎng)域管理員的權(quán)限才可以，此外還可以設(shè)定“事件傳遞優(yōu)化”的類型，在此建議采用預(yù)設(shè)的標(biāo)準(zhǔn)即可。

這樣，就成功完成了一個位在相同網(wǎng)域中，但是針對不同計算機的事件轉(zhuǎn)送的訂閱設(shè)定，這樣便可以輕松管理一些重要的事件在一部計算機的事件查看器當(dāng)中，而不需要總是透過遠(yuǎn)程桌面的聯(lián)機到每一部去查看了。

雖然Windows Server 2008或Windows Server 2012在網(wǎng)域服務(wù)的審核管理上，相比過去已經(jīng)大幅改善了許多，但是對于大型企業(yè)來說，審核管理還必須要能夠提供集中控管與分析，才能夠符合實務(wù)上的需求。根據(jù)這一項需求，在Microsoft的解決方案中便需要進一步透過與System Center Operations Manager 2012 R2整合即可達到。