의 제안에 따라이 답변, 다음 Microsoft 가이드에 따라 Windows 이벤트 전달을 설정하려고 합니다.
이벤트 소스가 이벤트 수집기 컴퓨터와 동일한 도메인에 없는 소스 시작 구독 설정.
나는 며칠 동안 그것에 갇혀 있었고, 가끔씩 또 다른 작은 장애물을 극복하면서 이 가이드를 수십 번 읽었습니다. 꽤 멀리 왔지만 지금은 정말 막힌 것 같아요.
7번 지점에서 막혔어요이벤트 소스 컴퓨터 구성:
- 이러한 단계에서는 원본 컴퓨터 이벤트 뷰어 응용 프로그램 및 서비스 Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 로그에 다음 메시지
와 함께 이벤트 104가 생성되어야 합니다. 메시지: "<sub_name> 구독이 성공적으로 생성되었습니다."- 이벤트 수집기에서 구독 런타임 상태에 이제 1개의 활성 컴퓨터가 표시됩니다.
8번 항목이 무엇을 의미하는지 잘 모르겠습니다. 구독 런타임 상태 명령( wecutil gr SubscriptionId)의 경우 구독 ID가 필요하지만 가이드에서는 구독 ID를 생성하라고 지시하지 않았습니다.
혼란스러워요. 제게 올바른 방향을 알려 주시겠어요? 감사해요.
답변1
먼저 구독을 만들어야 합니다. 그렇지 않으면 이벤트 ID 100이 표시되지 않습니다. 이 단계는 문서의 마지막 장입니다(이벤트 구독 구성)
[...]Right-click Subscriptions and choose “Create Subscription…”
Give a name and an optional description for the new Subscription.
Select “Source computer initiated” option and click “Select Computer Groups…”.
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]
서버에서 구독이 생성되면 컴퓨터에서 이를 구독할 수 있습니다(구독이 생성되기 전에 이미 GPO를 다운로드한 경우 GPO에 설정한 새로 고침 간격 이후).
문서의 8단계에서는 구독을 생성한 후 수집기의 이벤트 뷰어에 활성 컴퓨터를 직접 나열할 수 있다고 나와 있습니다. 그러나 수천 개가 있을 경우 GUI가 제대로 작동하지 않으므로 명령줄 도구를 사용하는 것이 좋습니다. 연결된 컴퓨터: wecutil es기존 구독을 나열하고 wecutil gs <subscriptionName>구독에 대한 세부 정보를 표시합니다.