我最近构建了一个新的 WEC (Windows 事件收集器)。已创建订阅,并且已将 WEC 添加到定义 Windows 事件收集器的组策略中。
计算机肯定在与 WEC 通信,因为我可以看到端口 5985 上有很多入站 TCP 连接。我尝试转发的日志是 sysmon 日志。它们之前是由另一个 WEC 收集的,但我试图将它们拆分到新的 WEC,因为单个 WEC 无法处理如此大量的流量。sysmon 日志肯定可以在旧 WEC 上看到,没有任何问题,并且旧 WEC 继续收集所有日志。(除了 sysmon,我已将其从该收集配置中删除)。
我不确定是什么原因导致端点在正确的端口上与服务器建立 TCP 连接(表明配置正确),但随后却没有按预期转发日志。如能得到任何帮助,我将不胜感激。
谢谢
斯凯岛