Encaminhamento de eventos do Windows via https sem domínio do Windows - sem evento 104

tag-icon tag-icon windows windows-event-log eventviewer winrm
Encaminhamento de eventos do Windows via https sem domínio do Windows - sem evento 104

Seguindo a sugestão emesta resposta, estou tentando configurar o encaminhamento de eventos do Windows seguindo este guia da Microsoft:

Configurando uma assinatura iniciada pela origem em que as fontes de eventos não estão no mesmo domínio que o computador coletor de eventos.

Estou preso nisso há dias e tenho lido este guia dezenas de vezes, de vez em quando superando outro pequeno obstáculo. Cheguei muito longe, mas agora me sinto realmente preso.

Estou preso no ponto 7 deConfiguração do computador de origem de eventos:

  1. Essas etapas devem produzir o evento 104 no log de aplicativos e serviços do Visualizador de eventos do computador de origem\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log com a seguinte mensagem:
    "O encaminhador se conectou com êxito ao gerenciador de assinaturas no endereço seguido pelo evento 100 com o mensagem: "A assinatura <sub_name> foi criada com sucesso."
  2. No Event Collector, o Subscription Runtime Status mostrará agora 1 computador ativo.

Também não tenho certeza do que significa o ponto 8. Para o comando Subscription Runtime Status ( wecutil gr SubscriptionId), preciso de um ID de assinatura, mas o guia não instruiu a criação de um.

Estou confuso. Você pode me indicar a direção certa? Obrigado.

Responder1

Você precisa primeiro criar uma assinatura, caso contrário, o ID do evento 100 não aparecerá. Esta etapa é o último capítulo da documentação (Configuração de assinatura de evento)

[...]Right-click Subscriptions and choose “Create Subscription…”  
Give a name and an optional description for the new Subscription.  
Select “Source computer initiated” option and click “Select Computer Groups…”.  
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]

Depois que a assinatura for criada no servidor, os computadores poderão assiná-la (após o intervalo de atualização definido no GPO, caso já tenham baixado o GPO antes da assinatura ser criada)

O passo 8 da documentação apenas informa que após criar a assinatura você poderá listar os computadores ativos diretamente no visualizador de eventos dos coletores, porém recomendo usar a ferramenta de linha de comando porque a GUI não se comportará bem quando você tiver vários milhares computadores conectados: wecutil espara listar assinaturas existentes e wecutil gs <subscriptionName>mostrar detalhes sobre a assinatura,

informação relacionada