Добрый день! Спасибо, что уделили время прочтению моего вопроса!
Я тестирую WEC и у меня получилось, что исходное устройство отправляет журналы моему сборщику, но с каким-то странным поведением. И сборщик, и источник работают под управлением WS19. Что я вижу, когда настраиваю, какие идентификаторы событий отслеживать вместо сбора всех, если в списке больше двух идентификаторов, исходное устройство показывает подписку на подписку, но затем сразу же отписывается, если событий меньше трех (1 или 2), оно остается подписанным. Теперь забавно, что если я отслеживаю событие 4624, которое находится в этом фильтре для отписанной подписки, оно пересылает событие, почему оно отправляет, если оно не подписано, и нормально ли это?
Кроме того, я узнал, что если я помещу более 22 идентификаторов событий в фильтр для подписки, он вообще не будет отправлять события. Мне пришлось создать четыре подписки, чтобы добиться того, что мне нужно, поскольку я собираю только 48 событий.
Просто пытаюсь разобраться, но, похоже, на эту тему не так много обсуждений, и я не нашел никакой документации MS о том, сколько подписок можно использовать.
решение1
https://github.com/palantir/windows-event-forwarding/issues/37
Это ссылается на отключенную опцию IPV6, просто зайдите в коллектор и добавьте опцию в реестр для ipv6.