Я настраиваю пересылку событий Windows (WEF) с использованием типа подписки, инициированной источником. В этой подписке, инициированной источником - выберите область компьютерных групп, которую я успешно тестировал при входе на отдельный компьютер. Кроме того, если я ввожу в этот фильтр «Компьютеры домена», он также работает. На основании нескольких прочитанных мной руководств кажется вполне возможным использовать группу безопасности Active Directory, включающую ПК. В эту подписку добавлена моя тестовая группа безопасности - выберите область групп, но, похоже, она не работает. Счетчик исходных компьютеров никогда не превышает 0, если я не вернусь к использованию имени ПК или компьютеров домена в моем выборе.
"Почему бы вам просто не использовать компьютеры домена?" Предполагается, что это снизит производительность и / или приведет к засорению журналов компьютерами, на которых я не развертываю свой объект групповой политики WEF (сборщик находится по адресу xyz).
Любые идеи?
https://support.logbinder.com/SuperchargerKB/50149/Controlling-Which-Computers-Subscribe-to-a-WEC-Subscription https://securityanalystuff.wordpress.com/2019/03/31/windows-event-forwarding-notes/
Не забывайте, что вам необходимо перезагрузить целевой компьютер после добавления его в группу безопасности, потому что Windows не обновляет свое членство в группе автоматически. Это может быть вашей проблемой, если все остальное в порядке.
Вы можете проверить следующий журнал в средстве просмотра событий на исходном компьютере:
Applications and Services Logs > Microsoft > Windows > Eventlog-ForwardingPlugin > Operational