Guten Tag und danke, dass Sie sich die Zeit genommen haben, meine Frage zu lesen!
Ich teste WEC und habe es so hinbekommen, dass das Quellgerät die Protokolle an meinen Collector sendet, aber mit einem seltsamen Verhalten. Sowohl der Collector als auch die Quelle führen WS19 aus. Was ich sehe, wenn ich konfiguriere, welche Ereignis-IDs überwacht werden sollen, anstatt alle zu sammeln: Wenn mehr als zwei IDs in der Liste sind, zeigt das Quellgerät an, dass es das Abonnement abonniert hat, kündigt es dann aber sofort wieder; wenn es weniger als drei Ereignisse (1 oder 2) sind, bleibt es abonniert. Das Lustige ist nun, dass, wenn ich auf Ereignis 4624 achte, das sich in diesem Filter für das nicht abonnierte Abonnement befindet, es das Ereignis weiterleitet. Warum sollte es senden, wenn es nicht abonniert ist, und ist das normales Verhalten?
Außerdem habe ich gelernt, dass die Ereignisse überhaupt nicht gesendet werden, wenn ich mehr als 22 Ereignis-IDs in den Filter für das Abonnement eingebe. Ich musste vier Abonnements erstellen, um das zu erreichen, was ich brauche, da ich nur 48 Ereignisse sammle.
Ich versuche nur, das herauszufinden. Es scheint nicht viele Threads dazu zu geben und ich habe keine MS-Dokumentation darüber gefunden, wie viele man pro Abonnement verwenden kann.
Antwort1
https://github.com/palantir/windows-event-forwarding/issues/37
Dies bezog sich auf die deaktivierte IPV6-Option. Gehen Sie einfach in den Collector und fügen Sie die Option in der Registrierung für IPv6 hinzu.