Переадресованные журналы событий

Я пошел дальше и успешно настроил переадресацию событий и подписки (winrm/wecutil). Теперь можно ли пересылать все журналы, которые уже были отправлены моему коллекционеру? Или это будут только события, которые будут идти вперед?

2 ответа

Вы можете попробовать это:

WECUtil SS "SubscriptionName" / см: пользовательский / ree: true

Это должно быть сделано до начала подписки. Другими словами, после создания подписки отключите ее, затем выполните указанную выше команду и затем выполните ее аренду. Список будет заполняться

http://blog.zenshaze.com/2011/06/13/event-forwarding-of-security-logs/

Добавь это:

<ReadExistingEvents>true</ReadExistingEvents>

В файл xml-конфигурации вашей подписки, внутри <Subscription> тег

Другие вопросы по тегам