Boa tarde e obrigado por reservar um tempo para ler minha pergunta!
Estou testando o WEC e descobri que o dispositivo de origem envia os logs para o meu coletor, mas com algum comportamento estranho. Tanto o coletor quanto a origem estão executando o WS19. O que estou vendo quando configuro quais IDs de eventos monitorar em vez de coletar todos, se houver mais de dois IDs na lista, o dispositivo de origem mostra a assinatura da assinatura, mas cancela imediatamente a assinatura, se houver menos de três eventos (1 ou 2), ele permanece inscrito. Agora o engraçado é que se eu estou monitorando o evento 4624 que está naquele filtro para assinatura cancelada, ele encaminha o evento, por que enviaria se não estivesse inscrito e esse comportamento é normal?
Além disso, aprendi que se eu colocar mais de 22 IDs de eventos no filtro da assinatura, os eventos não serão enviados. Tive que criar quatro assinaturas para realizar o que preciso, pois estou coletando apenas 48 eventos.
Apenas tentando descobrir isso, não parece haver muitos tópicos sobre isso e não encontrei nenhuma documentação da MS sobre quantos podem ser usados por assinatura.
Responder1
https://github.com/palantir/windows-event-forwarding/issues/37
Isso referenciou a opção IPV6 sendo desabilitada, basta entrar no coletor e adicionar a opção no registro para o ipv6.