¡Buenas tardes y gracias por tomarse el tiempo de leer mi pregunta!
Estoy probando WEC y obtuve que el dispositivo fuente envía los registros a mi recopilador, pero con un comportamiento extraño. Tanto el recopilador como la fuente ejecutan WS19. Lo que veo cuando configuro qué ID de eventos monitorear en lugar de recopilar todos, si hay más de dos ID en la lista, el dispositivo de origen muestra la suscripción a la suscripción pero luego se cancela inmediatamente, si son menos de tres eventos (1 o 2), permanece suscrito. Ahora, lo curioso es que si estoy monitoreando el evento 4624 que está en ese filtro para la suscripción cancelada, reenvía el evento, ¿por qué lo enviaría si no está suscrito y es este comportamiento normal?
Además, aprendí que si coloco más de 22 identificadores de eventos en el filtro de la suscripción, no enviará ningún evento. Tuve que crear cuatro suscripciones para lograr lo que necesito, ya que solo estoy recopilando 48 eventos.
Al intentar resolver esto, no parece haber muchos hilos sobre esto y no he encontrado ninguna documentación de MS sobre cuántos se pueden usar por suscripción.
Respuesta1
https://github.com/palantir/windows-event-forwarding/issues/37
Esto hacía referencia a que la opción IPV6 estaba deshabilitada, simplemente vaya al recopilador y agregue la opción en el registro para ipv6.