Я пошел дальше и успешно настроил перенаправление событий и подписки (winrm / wecutil). Теперь возможно ли получить все журналы, которые уже были отправлены моему сборщику? Или будут регистрироваться только будущие события?
Вы можете попробовать это:
WECUtil SS "SubscriptionName" / cm: custom / ree: true
Это нужно сделать до начала подписки. Другими словами, после того, как вы создадите подписку, отключите ее, затем запустите указанную выше команду, а затем обновите ее. После этого список заполнится
http://blog.zenshaze.com/2011/06/13/event-forwarding-of-security-logs/
Добавь это:
<ReadExistingEvents>true</ReadExistingEvents>
К файлу конфигурации xml вашей подписки внутри <Subscription>
тег