我正在尝试在 Windows 2012 R2 收集服务器上设置 Windows 事件转发。我希望从 Windows Defender 收集事件,Windows Defender 默认安装在 Windows 7 和 8 客户端上。我知道 Microsoft 不支持 2012 R2 上的 Windows Defender。我只想通过订阅从受支持的客户端收集事件。当我查看应用程序和服务日志时,我在收集服务器上找不到 Windows Defender 应用程序(因为我认为该功能未安装,因此无法在此处列出)。
路径应如下:
应用程序和服务日志/Microsoft/Windows/Windows Defender/Operational,
就像这篇 Technet 文章中描述的那样:https://answers.microsoft.com/en-us/protect/forum/protect_defender-protect_start/access-scan-logs/1066927e-35c8-4e66-ae3b-ca542776312c
也许有人知道我该如何收集这些日志?或者我应该创建一个 PS 脚本,将所需的日志移动到其他位置(如安全日志),以便我的 2012R2 服务器可以收集事件?
答案1
从另一台有事件日志的计算机的事件查看器中复制 XML。右键单击 > 筛选 > XML 选项卡。将该 XML 添加到您的收集器订阅,或创建新订阅。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select>
</Query>
</QueryList>
答案2
Windows提供了事件转发功能。参考链接:https://www.youtube.com/watch?v=sZj_9e3AHFk
答案3
我已成功将 Server 2012 R2 设置为 Windows Defender 的事件收集器服务器。步骤如下。
在 Windows 10/8.1 工作站上,创建自定义事件视图并选择 Windows Defender/Operation。
导出自定义视图并将 XML 文件复制到 Server 2012 R2。
将 XML 文件导入 Server 2012 R2 上的自定义视图。将出现错误。您可以忽略该错误,因为 Server 2012 R2 上没有 Windows Defender。
在 Server 2012 R2 上创建订阅。单击选择事件...上的向下箭头,选择从现有自定义视图复制,然后选择源工作站。
就是这样。Windows Defender 事件应转发到 Server 2012 R2。