Назад | Перейти на главную страницу

WEF собирает журналы Защитника Windows от клиентов на Windows Server 2012 R2

Я пытаюсь настроить пересылку событий Windows на сервере-сборщике Windows 2012 R2. Я искал собирать события из Защитника Windows, который по умолчанию установлен в клиентах Windows 7 и 8. Я знаю, что Защитник Windows не поддерживается Microsoft в 2012 R2. Я просто хочу собирать события с подпиской от поддерживаемых клиентов. Когда я смотрю в журнал приложений и служб, я не могу найти приложение Защитника Windows на сервере-сборщике (поскольку я думаю, что эта функция не установлена, поэтому ее нельзя здесь указать).

Путь должен быть следующим:

Журналы приложений и служб / Microsoft / Windows / Защитник Windows / Operational,

как описано в этой публикации: https://answers.microsoft.com/en-us/protect/forum/protect_defender-protect_start/access-scan-logs/1066927e-35c8-4e66-ae3b-ca542776312c

Может кто знает как эти логи собирать? Или мне следует создать сценарий PS, который перемещает нужные журналы в другое место, например журнал безопасности, чтобы мой сервер 2012R2 мог собирать события?

Я успешно установил Server 2012 R2 в качестве сервера сборщика событий для Защитника Windows. Следующие шаги.

На рабочей станции Windows 10 / 8.1 создайте настраиваемое представление событий и выберите Защитник Windows / Операция.

Экспортируйте настраиваемое представление и скопируйте XML-файл на Server 2012 R2.

Импортируйте XML-файл в настраиваемые представления на Server 2012 R2. Произойдет ошибка. Вы можете игнорировать эту ошибку, потому что на Server 2012 R2 нет Защитника Windows.

Создайте подписку на Server 2012 R2. Щелкните стрелку вниз на «Выбрать события ...», выберите «Копировать из существующего настраиваемого представления» и выберите исходные рабочие станции.

Вот и все. Событие Защитника Windows должно перенаправить на Server 2012 R2.

Windows предоставляет функцию пересылки событий. см. ссылку: https://www.youtube.com/watch?v=sZj_9e3AHFk

Скопируйте XML из средства просмотра событий с другого компьютера, на котором есть журнал событий. Щелкните правой кнопкой мыши> Фильтр> вкладка XML. Добавьте этот XML в свою подписку на сборщик или создайте новую подписку.

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
    <Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select>
  </Query>
</QueryList>