Пересылка событий Windows через https без домена Windows - нет события 104
Следуя предложению в этом ответе , я пытаюсь настроить пересылку событий Windows, следуя этому руководству Microsoft:
Настройка подписки, инициированной источником, где источники событий не находятся в том же домене, что и компьютер-сборщик событий .
Я застрял в этом на несколько дней, и я прочитал это руководство десятки раз, время от времени преодолевая еще одно небольшое препятствие. Я зашел довольно далеко, но теперь чувствую себя застрявшим.
Я застрял в пункте 7 конфигурации компьютера источника событий :
- Эти шаги должны вызвать событие 104 в журнале приложений и служб средства просмотра событий на исходном компьютере \ Microsoft \ Windows \ Eventlog-ForwardingPlugin \ Operational со следующим сообщением:
«Сервер пересылки успешно подключился к диспетчеру подписки по адресу, за которым следует событие 100 с сообщение: «Подписка <sub_name> успешно создана.»- В сборщике событий в статусе выполнения подписки теперь будет отображаться 1 активный компьютер.
Я также не уверен, что означает пункт 8. Для команды «Состояние выполнения подписки» ( wecutil gr SubscriptionId) мне нужен идентификатор подписки, но в руководстве не сказано о его создании.
Я в замешательстве. Не могли бы вы указать мне правильное направление? Спасибо.
Ответы
Сначала необходимо создать подписку, иначе идентификатор события 100 не появится. Этот шаг - последняя глава в документации ( Настройка подписки на события ).
[...]Right-click Subscriptions and choose “Create Subscription…”
Give a name and an optional description for the new Subscription.
Select “Source computer initiated” option and click “Select Computer Groups…”.
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]
После создания подписки на сервере компьютеры смогут подписаться на нее (после интервала обновления, установленного в объекте групповой политики, если они уже загрузили объект групповой политики до создания подписки)
Шаг 8 в документации просто говорит вам, что после создания подписки вы сможете перечислить активные компьютеры прямо в средстве просмотра событий сборщика, однако я рекомендую использовать инструмент командной строки, потому что графический интерфейс не будет вести себя должным образом, если у вас есть несколько тысяч подключенные компьютеры: wecutil esдля вывода списка существующих подписок и wecutil gs <subscriptionName>отображения сведений о подписке,