Где применяются фильтры подписок для пересылки событий Windows (WEF)?

Question

Где применяются фильтры подписок для пересылки событий Windows (WEF)?

Я настроил пересылку событий Windows (WEF) в своем домене LAB и настраиваю подписки. Моя подписка настроена на моем DC и инициируется источником, сборщик - DC01.acme.com, а источники - WIN7.acme.com и WIN10.acme.com. Предположим, у меня настроен следующий фильтр запросов для моей подписки:

введите описание здесь

Это означает, что я хочу, чтобы только журналы событий безопасности с ID 4776 пересылались на DC01.acme.com, это работает как чудо, здесь никаких проблем. Мой единственный вопрос: где на самом деле применяется фильтр: в DC (сборщик) или на рабочих станциях (источники)? На мой взгляд, есть два возможных сценария:

Источник перенаправляет все журналы событий, эти журналы поступают в сборщик, а затем сборщик применяет фильтр
Источник применяет фильтр локально и только перенаправляет намеченные журналы событий сборщику

0

windows-event-log subscription

Источник

JChris 20 май '18 в 18:46

1 ответ

Решение

Другие вопросы по тегам windows-event-log subscription

Michel de Crevoisier 22 май '18 в 10:24 2018-05-22 10:24 · Accepted Answer · 2018-05-22 10:24

Чтобы ответить на ваш вопрос, фильтрация применяется к источнику (например, к серверам, рабочим станциям и т. Д.), А не к коллектору. Это означает, что если вы укажете один идентификатор события, ваш сервер-сборщик просто соберет указанный идентификатор события (вариант 2 в зависимости от вашего вопроса).