Windows Event Forwarding via https ohne Windows Domäne - kein Event 104

tag-icon tag-icon windows windows-event-log eventviewer winrm
Windows Event Forwarding via https ohne Windows Domäne - kein Event 104

Nach dem Vorschlag indiese Antwort, ich versuche, die Windows-Ereignisweiterleitung einzurichten, indem ich dieser Anleitung von Microsoft folge:

Einrichten eines von der Quelle initiierten Abonnements, bei dem sich die Ereignisquellen nicht in derselben Domäne befinden wie der Ereignissammlercomputer.

Ich hänge seit Tagen daran fest, und ich habe diesen Leitfaden Dutzende Male gelesen und dabei immer wieder ein kleines Hindernis überwunden. Ich bin ziemlich weit gekommen, aber jetzt fühle ich mich wirklich festgefahren.

Ich stecke fest bei Punkt 7 vonKonfiguration des Ereignisquellencomputers:

  1. Diese Schritte sollten in der Ereignisanzeige Ihres Quellcomputers unter „Anwendungen und Diensteprotokolle\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational“ das Ereignis 104 mit der folgenden Meldung erzeugen:
    „Der Forwarder hat erfolgreich eine Verbindung zum Abonnement-Manager unter der Adresse hergestellt“, gefolgt von Ereignis 100 mit der Meldung: „Das Abonnement <Subname> wurde erfolgreich erstellt.“
  2. Im Ereignissammler wird als Laufzeitstatus des Abonnements jetzt 1 aktiver Computer angezeigt.

Ich bin mir auch nicht sicher, was Punkt 8 bedeutet. Für den Befehl „Subscription Runtime Status“ ( wecutil gr SubscriptionId) brauche ich eine Abonnement-ID, aber in der Anleitung steht nicht, dass ich eine erstellen soll.

Ich bin verwirrt. Können Sie mir bitte den richtigen Weg weisen? Danke.

Antwort1

Sie müssen zuerst ein Abonnement erstellen, sonst wird die Ereignis-ID 100 nicht angezeigt. Dieser Schritt ist das letzte Kapitel in der Dokumentation (Konfiguration des Ereignisabonnements)

[...]Right-click Subscriptions and choose “Create Subscription…”  
Give a name and an optional description for the new Subscription.  
Select “Source computer initiated” option and click “Select Computer Groups…”.  
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]

Sobald das Abonnement auf dem Server erstellt wurde, können Computer es abonnieren (nach dem Aktualisierungsintervall, das Sie im Gruppenrichtlinienobjekt festgelegt haben, sofern sie das Gruppenrichtlinienobjekt bereits vor der Erstellung des Abonnements heruntergeladen haben).

Schritt 8 in der Dokumentation sagt Ihnen lediglich, dass Sie nach dem Erstellen des Abonnements aktive Computer direkt in der Ereignisanzeige des Collectors auflisten können. Ich empfehle jedoch die Verwendung des Befehlszeilentools, da sich die GUI bei mehreren tausend angeschlossenen Computern nicht gut verhält: wecutil esum vorhandene Abonnements aufzulisten und wecutil gs <subscriptionName>Details zum Abonnement anzuzeigen,

verwandte Informationen