Пересылка событий Windows через https без домена Windows — нет события 104

tag-icon tag-icon windows windows-event-log eventviewer winrm
Пересылка событий Windows через https без домена Windows — нет события 104

Следуя предложению вэтот ответЯ пытаюсь настроить пересылку событий Windows, следуя этому руководству Microsoft:

Настройка подписки, инициированной источником, когда источники событий не находятся в том же домене, что и компьютер-сборщик событий.

Я застрял на этом несколько дней, и я читал это руководство десятки раз, время от времени преодолевая очередное небольшое препятствие. Я продвинулся довольно далеко, но теперь я чувствую себя действительно застрявшим.

Я застрял на пункте 7Конфигурация компьютера-источника событий:

  1. Эти шаги должны привести к появлению события 104 в журнале журнала приложений и служб исходного компьютера Event Viewer\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational со следующим сообщением:
    «Сервер пересылки успешно подключился к менеджеру подписок по адресу », за которым должно последовать событие 100 с сообщением: «Подписка <sub_name> успешно создана».
  2. В Event Collector статус выполнения подписки теперь будет показывать 1 активный компьютер.

Я также не уверен, что означает пункт 8. Для команды Subscription Runtime Status ( wecutil gr SubscriptionId) мне нужен идентификатор подписки, но в руководстве не сказано, что нужно его создать.

Я запутался. Можете указать мне правильное направление? Спасибо.

решение1

Сначала вам нужно создать подписку, иначе идентификатор события 100 не отобразится. Этот шаг является последней главой в документации (Конфигурация подписки на события)

[...]Right-click Subscriptions and choose “Create Subscription…”  
Give a name and an optional description for the new Subscription.  
Select “Source computer initiated” option and click “Select Computer Groups…”.  
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]

После создания подписки на сервере компьютеры смогут подписаться на нее (после интервала обновления, установленного вами в GPO, если они уже загрузили GPO до создания подписки)

Шаг 8 в документации просто говорит вам, что после создания подписки вы сможете вывести список активных компьютеров непосредственно в средстве просмотра событий сборщиков, однако я рекомендую использовать инструмент командной строки, поскольку графический интерфейс будет работать некорректно, если у вас несколько тысяч подключенных компьютеров: wecutil esдля вывода списка существующих подписок и wecutil gs <subscriptionName>отображения сведений о подписке,

Связанный контент