Я погуглил и не нашел ответов.
(да, я также писал об этом в TechNet)
У меня есть несколько рабочих станций, которые были выведены из эксплуатации и отображаются как «Неактивные». Я хочу удалить их из подписки, чтобы минимизировать появление ошибок.
Ответ Вот был для установок, инициированных сборщиком (что требует запуска кода C ++ ??).
Кто-нибудь нашел простой способ удалить ИНИЦИАТИРОВАННЫЙ ИСТОЧНИК ПК?
Ознакомьтесь с примечанием о размере реестра на эта страница.
Для каждого уникального устройства, которое подключается к подписке WEF, существует раздел реестра (соответствующий FQDN клиента WEF), созданный для хранения информации о закладках и источнике пульса. Если не удалить неактивных клиентов, этот набор ключей реестра может со временем вырасти до неуправляемого размера.
Это так же просто, как удалить раздел реестра на сервере сборщика событий Windows. Вы можете написать сценарий для сравнения списка клиентов в реестре со списком активных клиентов в вашем активном каталоге. Затем удалите ключи для клиентов, которые не существуют в AD или не прошли аутентификацию какое-то время.
Эти ключи расположены здесь на каждом из ваших серверов сборщика событий Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Subscriptions\<SubscriptionName>
Для управления подписками есть команда Windows wecutil.exe.
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wecutil
wecutil ss "Event subscription name" /res /esa:eventsourcecomputername.domain.com