按照此答案中的建议,我正在尝试按照此 Microsoft 指南设置 Windows 事件转发:
我坚持了好几天,并且已经阅读了数十次本指南,每隔一段时间就会克服另一个小障碍。我已经走了很远,但现在我感觉真的被困住了。
我被困在事件源计算机配置的第 7 点:
- 这些步骤应在您的源计算机事件查看器应用程序和服务日志\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日志中生成事件 104,并显示以下消息:
“转发器已成功连接到地址处的订阅管理器,随后是事件 100消息:“订阅 <sub_name> 已成功创建。”- 在事件收集器上,订阅运行时状态现在将显示 1 台活动计算机。
我也不确定第 8 点是什么意思。对于订阅运行时状态命令 ( wecutil gr SubscriptionId),我需要一个订阅 ID,但指南没有告诉创建一个。
我很困惑。你能指出我正确的方向吗?谢谢。
您需要先创建订阅,否则不会显示事件 ID 100。这一步是文档的最后一章(事件订阅配置)
在服务器上创建订阅后,计算机将能够订阅它(如果在创建订阅之前已经下载了 GPO,则在您在 GPO 中设置的刷新间隔之后)
文档中的第 8 步只是告诉您,在创建订阅后,您将能够直接在收集器的事件查看器中列出活动计算机,但是我建议使用命令行工具,因为当您拥有数千台时,GUI 将无法正常运行连接的计算机:
wecutil es列出现有订阅并wecutil gs <subscriptionName>显示有关订阅的详细信息,