我有以下事件日志:
此事件日志仅出现在内部自定义视图 -> 服务器角色 -> 远程桌面服务。我想做的是将其添加到Windows 日志 -> 安全因为我已经有一个代理正在抓取此文件夹。这可能吗?
答案1
您正在查看的事件Remote Desktop Services列表实际上是多个不同事件日志的组合/过滤视图。您在该Custom Views文件夹中找到的所有内容通常都属于该类别。您还可以通过漏斗图标而不是旧版 Windows 事件日志上的笔记本图标来判断。
对于此特定事件,您可以从“日志名称:”属性中查看它实际上位于哪个日志中。Microsoft-Windows-TerminalServices-LocalSessionManager/Operational如果您深入研究Applications and Services Logs,您可以向下浏览 Microsoft、Windows,最后浏览包含管理和操作日志的 TerminalServices-LocalSessionManager。
如果您想要捕获此事件,则需要告诉代理抓取此日志。我认为没有办法将此日志中的消息重定向到旧版 Windows 日志之一。
答案2
这是不可能的(不幸的是),日志条目不能被重定向/移动。
您应该获得一个可以监控所有事件日志的代理 - 所有体面的日志监控解决方案不仅能够监控原始事件日志,还能够监控“应用程序和服务”下的任何日志。