Windows 事件转发和 Sysmon

我正在处理与 WEF 和 sysmon 相关的一些问题

我已经设置了收集服务器，并通过 GPO 配置了 2 个域控制器以将事件发送到 WEF 收集器。

它是通过源启动进行配置的，但配置中似乎缺少一些东西。

我用了https://www.syspanda.com/index.php/2017/03/01/setting-up-windows-event-forwarder-server-wef-domain-gpo-deployment-part-33/配置指南但不包括步骤 4。

步骤 1：创建 WinRM 服务并将其设置为自动启动

启动组策略实用程序并执行以下操作：

右键单击您的计算机 OU 并在此域中创建 GPO，然后在此处链接提供一个名称（WEF 部署），单击确定右键单击您新创建的 GPO WEF 部署并选择编辑导航到计算机配置 > 首选项 > 控制面板设置 > “新建 > 服务”启动：AutomaticService 名称：WinRMService 操作：启动服务单击应用

步骤 2：提供事件日志读取器访问权限

在此步骤中，我们将网络服务和事件转发器服务器 (WindowsLogCollector) 添加到事件日志读取器和组。这将使我们的 WEF 服务器 (WindowsLogCollector) 能够访问您的域端点事件日志。

右键单击您的 WEF 部署 GPO，然后选择编辑计算机配置 > 首选项 > 控制面板设置 > 右键单击​​ > “新组”操作：更新组名称：事件日志读取器成员：NETWORK SERVICE Domain\WindowsLogCollector$ 应用 > 确定

步骤 3：添加 WEF 服务器订阅地址 这将允许我们的端点注册到我们的 WindowsLogCollector 订阅。

右键单击您的 WEF 部署 GPO，然后选择编辑计算机配置 > 策略 > 管理模板 > Windows 组件 > 事件转发 > 配置目标订阅管理器 > 设置为 EnableShow：Server=http://WindowsLogCollector.domain.COM:5985/wsman/SubscriptionManager/WEC

步骤 4：允许通过 WinRM 进行远程服务器管理

右键单击您的 WEF 部署 GPO，然后选择编辑计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows 远程管理 (WinRM) > WinRMService > 允许通过 WinRM 进行远程服务器管理设置：EnableiPv4 过滤器：*（或者您可以只输入 WindowsLogCollector 的 IP 地址）IpV6 过滤器：*（您可以取消选中此项）

申请日志读取器访问权限后是否缺少了什么？正如它仍然说的那样源计算机为 0

也许是权限问题。