我继续并成功配置了事件转发和订阅 (winrm/wecutil)。现在是否可以将所有已经发生的日志转发到我的收集器?还是只有将来发生的事件才会被记录?
答案1
您可以尝试以下操作:
WECUtil SS“订阅名称”/cm:custom /ree:true
这应该在订阅启动之前完成。换句话说,创建订阅后禁用它,然后运行上述命令,然后重新启用它。然后列表将填充
http://blog.zenshaze.com/2011/06/13/event-forwarding-of-security-logs/
答案2
添加此内容:
<ReadExistingEvents>true</ReadExistingEvents>
到您的订阅 xml 配置文件,<Subscription>标签内