Active Directory：配置事件日志订阅（转发）

事件查看器使您能够查看计算机上的事件和日志。解决问题可能需要查看其他远程计算机的日志文件。事件日志订阅开始发挥作用……订阅使您能够保存来自远程计算机的事件。在本文中，我将配置收集器和目标系统。

假设您想要从客户端计算机上的域控制器收集事件日志事件。因此，您的客户端计算机是收集器，而您的域控制器是目标。

客户端计算机（收集器）

使用域管理员组成员的帐户登录到您的客户端计算机（Windows Vista 及更高版本）。打开 Windows PowerShell 并键入 wecutil qc。按回车键。

wecutil qc

这将启动事件收集器服务。

服务器计算机（目标系统）

在 Windows Server 2012 和 2016 上，默认启用远程管理。只是为了确保它已启用，请输入

Configure-SMRemoting.exe -GET

如果未启用远程处理，您只需运行以下命令即可启用它

Configure-SMRemoting.exe -ENABLE

在进行下一步之前，请打开服务器管理器并确保远程管理已设置为已启用。

现在我们必须将收集器的计算机帐户添加到服务器的事件日志读取器组。您可以在 cmd 或 PowerShell 中执行此操作。

Add-ADGroupMember -Identity "Event Log Readers" -Members "client01$"

net localgroup "Event Log Readers" a-d\client01$ /add

这会将 client01 添加到事件日志读取器组。我们现在准备配置主要部分。

配置事件日志订阅

登录到您的收集器计算机 (Windows 10)。打开事件查看器 (eventvwr)。单击订阅并选择创建订阅。

输入订阅名称并单击选择计算机。

单击添加域计算机并键入目标系统的计算机名称。在继续之前测试连接是有意义的。

接下来单击选择事件。

定义查询过滤器。选择您要收集的事件。

单击“确定”。

测试事件日志订阅的功能

等待几分钟并在目标系统上执行一些操作。例如，重新启动计算机以触发事件日志条目。然后返回到您的客户端系统并单击“Windows 日志”。选择转发事件并查看目标计算机的日志。

好的。这样就完成了转发配置。

配置高级设置

但还有更多。您可以配置带宽、延迟等……返回到您最近配置的订阅并双击它。选择高级。

注意事件传递优化。

使用正常模式一次交付 5 件物品。找到满足您要求的合适设置有点棘手。我建议阅读微软官方文章：

https://technet.microsoft.com/en-us/library/cc749167%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

享受事件日志订阅的乐趣！