У меня есть пара контроллеров домена Server 2012R2 (назовем их DC01 и DC02). У меня также есть рядовой сервер Server 2012R2 (назовем его КОЛЛЕКТОР), который я собираюсь использовать для сбора определенных журналов событий с различных серверов. Я настроил сбор журнала событий и могу успешно настроить подписки на журналы «Приложение», «Система» и т. Д. С нескольких серверов.
Моя проблема в том, что я хотел бы собирать события из журнала «Служба каталогов» на контроллерах домена. Однако, когда я настраиваю новую подписку на COLLECTOR в разделе «Фильтр запросов», у меня нет журнала «Служба каталогов» в качестве опции, так как COLLECTOR не имеет установленной роли AD DS и, следовательно, не имеет журналов ( например, «Служба каталогов»), которые связаны с контроллерами домена.
Есть идеи, как я могу собирать события из определенных журналов Active Directory из сборщика событий рядового сервера?
Создайте собственный фильтр XML:
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>