按照建议这个答案,我正在尝试按照 Microsoft 的指南设置 Windows 事件转发:
我被困了好几天,我已经把这个指南读了几十遍,每次都能克服一个小障碍。我取得了很大进展,但现在我感觉真的很困难。
我卡在了第 7 点事件源计算机配置:
- 这些步骤应该会在源计算机的事件查看器应用程序和服务 Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日志中生成事件 104,并显示以下消息:
“转发器已成功连接到地址的订阅管理器,然后生成事件 100,并显示以下消息:“订阅 <sub_name> 已成功创建。”- 在事件收集器上,订阅运行时状态现在将显示 1 台活动计算机。
我也不确定第 8 点是什么意思。对于订阅运行时状态命令 ( wecutil gr SubscriptionId),我需要一个订阅 ID,但指南没有告诉我创建一个。
我很困惑。你能给我指点一下吗?谢谢。
答案1
您需要先创建订阅,否则事件 ID 100 将不会显示。此步骤是文档中的最后一章(事件订阅配置)
[...]Right-click Subscriptions and choose “Create Subscription…”
Give a name and an optional description for the new Subscription.
Select “Source computer initiated” option and click “Select Computer Groups…”.
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]
一旦在服务器上创建订阅,计算机将能够订阅它(如果在创建订阅之前已经下载了 GPO,则在您在 GPO 中设置的刷新间隔之后)
文档中的第 8 步只是告诉您,创建订阅后,您将能够直接在收集器的事件查看器中列出活动的计算机,但我建议使用命令行工具,因为当您有几千台连接的计算机时,GUI 的表现不会很好:wecutil es列出现有订阅并wecutil gs <subscriptionName>显示有关订阅的详细信息,