Переадресованные журналы событий
Я пошел дальше и успешно настроил переадресацию событий и подписки (winrm/wecutil). Теперь можно ли пересылать все журналы, которые уже были отправлены моему коллекционеру? Или это будут только события, которые будут идти вперед?
2 ответа
Вы можете попробовать это:
WECUtil SS "SubscriptionName" / см: пользовательский / ree: true
Это должно быть сделано до начала подписки. Другими словами, после создания подписки отключите ее, затем выполните указанную выше команду и затем выполните ее аренду. Список будет заполняться
http://blog.zenshaze.com/2011/06/13/event-forwarding-of-security-logs/
Добавь это:
<ReadExistingEvents>true</ReadExistingEvents>
В файл xml-конфигурации вашей подписки, внутри <Subscription>
тег