Назад | Перейти на главную страницу

Сбор журналов событий службы каталогов с контроллера домена 2012R2 и отправка на рядовой сервер 2012R2

У меня есть пара контроллеров домена Server 2012R2 (назовем их DC01 и DC02). У меня также есть рядовой сервер Server 2012R2 (назовем его КОЛЛЕКТОР), который я собираюсь использовать для сбора определенных журналов событий с различных серверов. Я настроил сбор журнала событий и могу успешно настроить подписки на журналы «Приложение», «Система» и т. Д. С нескольких серверов.

Моя проблема в том, что я хотел бы собирать события из журнала «Служба каталогов» на контроллерах домена. Однако, когда я настраиваю новую подписку на COLLECTOR в разделе «Фильтр запросов», у меня нет журнала «Служба каталогов» в качестве опции, так как COLLECTOR не имеет установленной роли AD DS и, следовательно, не имеет журналов ( например, «Служба каталогов»), которые связаны с контроллерами домена.

Есть идеи, как я могу собирать события из определенных журналов Active Directory из сборщика событий рядового сервера?

Создайте собственный фильтр XML:

<QueryList>
  <Query Id="0" Path="Directory Service">
    <Select Path="Directory Service">*</Select>
  </Query>
</QueryList>