Windows 事件收集器过滤

Windows 事件收集器过滤

下午好,感谢您花时间阅读我的问题!

我正在测试 WEC,源设备将日志发送到我的收集器,但出现了一些奇怪的行为。收集器和源都在运行 WS19。当我配置要监控的事件 ID 而不是收集所有事件 ID 时,我看到的情况是,如果列表中有两个以上的 ID,源设备会显示订阅,但随后会立即取消订阅,如果少于三个事件(1 或 2),它会保持订阅状态。现在有趣的是,如果我正在监控事件 4624(该事件位于取消订阅的订阅的过滤器中),它会转发事件,如果没有订阅,为什么会发送,这是正常行为吗?

此外,我还了解到,如果我在订阅过滤器中输入超过 22 个事件 ID,它根本不会发送事件。我不得不创建四个订阅才能完成我需要的操作,因为我只收集了 48 个事件。

只是想弄清楚这一点,似乎没有很多关于这一点的线程,而且我还没有找到任何关于每个订阅可以使用多少个的 MS 文档。

答案1

https://github.com/palantir/windows-event-forwarding/issues/37

这引用了被禁用的 IPV6 选项,只需进入收集器并在注册表中为 ipv6 添加该选项。

相关内容