我正在使用源启动订阅类型设置 Windows 事件转发 (WEF)。在该源启动订阅 - 选择计算机组区域中,我已成功测试输入单个 PC。此外,如果我在该过滤器中输入域计算机,它也能正常工作。根据我读过的几本指南,似乎完全可以使用包含 PC 的 Active Directory 安全组。将我的测试安全组添加到该订阅 - 选择组区域,但它似乎不起作用。除非我重新使用 PC 的名称或我的选择中的域计算机,否则源计算机计数器永远不会超过 0。
“你为什么不直接使用域计算机?” 假设这会损害性能和/或阻塞我没有部署 WEF GPO(收集器位于 xyz 地址)的 PC 的日志。
有任何想法吗?
https://support.logbinder.com/SuperchargerKB/50149/Controlling-Which-Computers-Subscribe-to-a-WEC-Subscription https://securityanalyststuff.wordpress.com/2019/03/31/windows-event-forwarding-notes/
答案1
不要忘记,将目标计算机添加到安全组后,需要重新启动它,因为 Windows 不会自动刷新其组成员身份。如果其他一切正常,这可能是您的问题。
您可以在源计算机上的事件查看器中检查以下日志:
Applications and Services Logs > Microsoft > Windows > Eventlog-ForwardingPlugin > Operational