Reenvío de eventos de Windows a través de https sin dominio de Windows: sin evento 104

tag-icon tag-icon windows windows-event-log eventviewer winrm
Reenvío de eventos de Windows a través de https sin dominio de Windows: sin evento 104

Siguiendo la sugerencia enesta respuesta, Estoy intentando configurar el reenvío de eventos de Windows siguiendo esta guía de Microsoft:

Configurar una suscripción iniciada por fuente donde las fuentes de eventos no están en el mismo dominio que la computadora recopiladora de eventos.

Llevo días estancado en ello y he estado leyendo esta guía decenas de veces, superando de vez en cuando otro pequeño obstáculo. Llegué bastante lejos, pero ahora me siento realmente estancado.

Estoy atrapado en el punto 7 deConfiguración del equipo de origen del evento:

  1. Estos pasos deberían generar el evento 104 en el registro de aplicaciones y servicios del Visor de eventos de su computadora de origen\Microsoft\Windows\Eventlog-ForwardingPlugin\Registro operativo con el siguiente mensaje:
    "El reenviador se ha conectado exitosamente al administrador de suscripciones en la dirección seguida del evento 100 con el mensaje: "La suscripción <sub_name> se creó correctamente".
  2. En el recopilador de eventos, el estado del tiempo de ejecución de la suscripción mostrará ahora 1 computadora activa.

Tampoco estoy seguro de qué significa el punto 8. Para el comando Estado del tiempo de ejecución de la suscripción ( wecutil gr SubscriptionId), necesito un ID de suscripción, pero la guía no indica que se cree uno.

Estoy confundido. ¿Puede indicarme la dirección correcta? Gracias.

Respuesta1

Primero debe crear una suscripción; de lo contrario, el ID de evento 100 no aparecerá. Este paso es el último capítulo de la documentación (Configuración de suscripción a eventos)

[...]Right-click Subscriptions and choose “Create Subscription…”  
Give a name and an optional description for the new Subscription.  
Select “Source computer initiated” option and click “Select Computer Groups…”.  
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]

Una vez que se crea la suscripción en el servidor, las computadoras podrán suscribirse (después del intervalo de actualización que estableció en el GPO si ya descargaron el GPO antes de que se creara la suscripción).

El paso 8 en la documentación simplemente le dice que después de crear la suscripción podrá enumerar las computadoras activas directamente en el visor de eventos de los recopiladores; sin embargo, recomiendo usar la herramienta de línea de comandos porque la GUI no se comportará bien cuando tenga varios miles. Computadoras conectadas: wecutil espara enumerar las suscripciones existentes y wecutil gs <subscriptionName>mostrar detalles sobre la suscripción,

información relacionada