按照中的建議這個答案,我嘗試按照 Microsoft 的指南設定 Windows 事件轉送:
設定來源發起的訂閱,其中事件來源與事件收集器電腦不在同一網域中。
我已經堅持了好幾天了,我已經閱讀了本指南數十次,每隔一段時間就會克服另一個小障礙。我已經走了很遠,但現在我感覺真的被困住了。
我被困在第 7 點事件源計算機配置:
- 這些步驟應在來源電腦事件檢視器應用程式和服務日誌\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日誌中產生事件 104,並顯示下列訊息:
「轉發器已成功連接到位址處的訂閱管理員,後面接著事件100,其中包含訊息:“訂閱 <sub_name> 已成功建立。”- 在事件收集器上,訂閱運行時狀態現在將顯示 1 台活動計算機。
我也不知道第8點是什麼意思。對於訂閱運行時狀態命令 ( wecutil gr SubscriptionId),我需要一個訂閱 ID,但指南沒有告訴我要建立一個。
我很困惑。你能指出我正確的方向嗎?謝謝。
答案1
您需要先建立訂閱,否則事件 ID 100 將不會顯示。此步驟是文檔中的最後一章(事件訂閱配置)
[...]Right-click Subscriptions and choose “Create Subscription…”
Give a name and an optional description for the new Subscription.
Select “Source computer initiated” option and click “Select Computer Groups…”.
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]
在伺服器上建立訂閱後,電腦將能夠訂閱它(如果在建立訂閱之前電腦已經下載了 GPO,則在您在 GPO 中設定的刷新間隔之後)
文件中的第8 步只是告訴您,創建訂閱後,您將能夠直接在收集器的事件檢視器中列出活動計算機,但是我建議使用命令列工具,因為當您有數千台計算機時,GUI將無法正常運行連接的計算機:wecutil es列出現有訂閱並wecutil gs <subscriptionName>顯示有關訂閱的詳細信息,