%20%E8%AE%A2%E9%98%85%E8%BF%87%E6%BB%A4%E5%99%A8%E5%BA%94%E7%94%A8%E5%9C%A8%E5%93%AA%E9%87%8C%EF%BC%9F.png)
我在我的 LAB 域中配置了 Windows 事件转发 (WEF),并且正在设置订阅。我的订阅在我的 DC 上配置并且是源启动的,收集器是 DC01.acme.com,源是 WIN7.acme.com 和 WIN10.acme.com。假设我为我的订阅配置了以下查询过滤器:
这意味着我只希望将 ID 为 4776 的安全事件日志转发到 DC01.acme.com,这很有效,这里没有问题。我唯一的问题是:过滤器实际应用在哪里,在 DC(收集器)还是在工作站(源)?我认为有两种可能的情况:
- 源转发所有事件日志,这些日志到达收集器,然后收集器应用过滤器
- 源端在本地应用过滤器,仅将预期的事件日志转发给收集器
答案1
回答你的问题,过滤是应用于源(如服务器、工作站等)而不是收集器。这意味着如果您指定单个事件 ID,您的收集器服务器将只收集指定的事件 ID(根据您的问题选择 2)。