我有几个 Server 2012R2 域控制器(我们将它们称为 DC01 和 DC02)。我还有一个 Server 2012R2 成员服务器(我们将其称为 COLLECTOR),我将使用它来从各个服务器收集某些事件日志。我已经设置了事件日志收集,并且能够成功设置来自多个服务器的“应用程序”、“系统”等日志的订阅。
我的问题是我想从域控制器上的“目录服务”日志中收集事件。但是,当我在 COLLECTOR 上设置新订阅时,在“查询筛选器”下,我没有“目录服务”日志作为选项,因为 COLLECTOR 没有安装 AD DS 角色,因此没有与域控制器关联的日志(例如“目录服务”)。
您知道如何从成员服务器事件收集器收集特定 Active Directory 日志中的事件吗?
答案1
创建自定义 XML 过滤器:
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>