我有一个 Server 2019 服务器,我在上面配置了 Windows 事件收集器。我有六个系统成功地向它发送了日志(特别是 AppLocker 日志)。我想将其扩展到大约 20 个系统发送日志,另外我想转发安全、应用程序和设置日志。但我不想要来自四个事件日志的所有日志,从每台服务器转到转发事件。我想在收集器服务器上创建新的事件日志以满足我的需要。但我似乎无法找到一种方法来做到这一点。我尝试使用 powershell New-EventLog。虽然我可以让 powershell 命令成功完成,但我无法在事件查看器中或创建订阅时看到创建的事件日志。
有没有办法做到这一点?或者还有其他方法可以解决这个问题吗?提前致谢。
是的。只需按照此处的步骤操作:
https://learn.microsoft.com/en-us/archive/blogs/russellt/creating-custom-windows-event-forwarding-logs
我希望这个过程更容易一些。
可以在此处找到有关使用自定义事件通道的更多提示:
https://github.com/palantir/windows-event-forwarding/tree/master/windows-event-channels