Где применяются фильтры подписок Windows Event Forwarding (WEF)?
Я настроил пересылку событий Windows (WEF) в своем домене LAB и настраиваю подписки. Моя подписка настроена на моем контроллере домена и инициируется источником, сборщик - DC01.acme.com, а источники - WIN7.acme.com и WIN10.acme.com. Предположим, для моей подписки настроен следующий фильтр запросов:
Это означает, что мне нужны только журналы событий безопасности с ID 4776, перенаправляемые на DC01.acme.com, это работает как шарм, здесь нет проблем. Мой единственный вопрос: где действительно применяется фильтр, в ДК (коллектор) или на рабочих станциях (источниках)? На мой взгляд, есть два возможных сценария:
- Источник пересылает все журналы событий, эти журналы поступают в сборщик, а затем сборщик применяет фильтр
- Источник применяет фильтр локально и направляет сборщику только предполагаемые журналы событий.
Чтобы ответить на ваш вопрос, фильтрация применен к источнику (например, серверы, рабочие станции, ...), а не на сборщике. Это означает, что если вы укажете один идентификатор события, ваш сервер-сборщик просто соберет указанный идентификатор события (вариант 2 на основе вашего вопроса).