の提案に従ってこの答え、私は Microsoft のガイドに従って Windows イベント転送を設定しようとしています:
イベント ソースがイベント コレクター コンピューターと同じドメインにない場合に、ソース開始サブスクリプションを設定する。
私は何日も行き詰まっています。このガイドを何十回も読み、時々別の小さな障害を克服してきました。かなり先まで進みましたが、今は本当に行き詰まっているように感じます。
私は7番目のポイントで行き詰まっていますイベントソースコンピュータの構成:
- これらの手順により、ソース コンピューターのイベント ビューアーのアプリケーションとサービス ログ\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational ログに、次のメッセージを含むイベント 104 が生成されます:
「フォワーダーは、アドレスのサブスクリプション マネージャーに正常に接続しました。」 続いて、次のメッセージを含むイベント 100 が生成されます: 「サブスクリプション <sub_name> が正常に作成されました。」- イベント コレクターでは、サブスクリプション ランタイム ステータスにアクティブなコンピューターが 1 台表示されます。
ポイント 8 の意味もよくわかりません。サブスクリプション ランタイム ステータス コマンド ( wecutil gr SubscriptionId) にはサブスクリプション ID が必要ですが、ガイドでは作成するように指示されていません。
混乱しています。正しい方向を教えていただけますか? ありがとうございます。
答え1
最初にサブスクリプションを作成する必要があります。そうしないと、イベントID 100は表示されません。この手順は、ドキュメントの最後の章です(イベントサブスクリプション構成)
[...]Right-click Subscriptions and choose “Create Subscription…”
Give a name and an optional description for the new Subscription.
Select “Source computer initiated” option and click “Select Computer Groups…”.
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]
サーバー上でサブスクリプションが作成されると、コンピューターはそれをサブスクライブできるようになります (サブスクリプションが作成される前に GPO が既にダウンロードされている場合は、GPO で設定した更新間隔後にサブスクライブできます)。
ドキュメントのステップ8では、サブスクリプションを作成した後、コレクターのイベントビューアでアクティブなコンピューターを直接リストできるようになるとだけ書かれていますが、数千台のコンピューターが接続されている場合はGUIがうまく動作しないため、wecutil es既存のサブスクリプションをリストし、wecutil gs <subscriptionName>サブスクリプションの詳細を表示するには、コマンドラインツールを使用することをお勧めします。