我正在尝试在Windows 2012 R2收集器服务器上设置Windows事件转发。 我正在寻找从Windows Defender收集事件,Windows Defender默认在Windows 7和8客户端上。 我知道Microsoft在2012 R2上不支持Windows Defender。 我只是想从支持的客户端收集订阅事件。 当我查看应用程序和服务日志时,无法在收集器服务器上findWindows Defender应用程序(因为我认为该function未安装,因此无法在此处列出)。
path应该如下:
应用程序和服务日志/ Microsoft / Windows / Windows Defender / Operational,
就像在这个technet文章中描述的那样: https ://answers.microsoft.com/zh-CN/protect/forum/protect_defender-protect_start/access-scan-logs/1066927e-35c8-4e66-ae3b-ca542776312c
也许有人知道我可以如何收集这些日志? 或者我应该创build一个PS脚本,将所需的日志移动到另一个位置,如安全日志,以便我的2012R2服务器可以收集事件?
从具有事件日志的另一台计算机的事件查看器中复制XML。 右键单击>filter> XML选项卡。 将该XML添加到您的collections者订阅,或创build一个新的订阅。
<QueryList> <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"> <Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select> </Query> </QueryList>
Windows提供事件转发function。 请参阅链接: https : //www.youtube.com/watch?v=sZj_9e3AHFk
我已成功将Server 2012 R2设置为Windows Defender的事件收集器服务器。 以下是步骤。
在Windows 10 / 8.1工作站上,创build一个自定义事件视图并selectWindows Defender / Operation。
导出自定义视图并将XML文件复制到Server 2012 R2。
将XML文件导入Server 2012 R2上的自定义视图。 会有一个错误。 您可以忽略该错误,因为Server 2012 R2上没有Windows Defender。
在Server 2012 R2上创build订阅。 单击select事件…上的向下箭头,然后select从现有的自定义视图中复制并select源工作站。
这就对了。 Windows Defender事件应该转发到Server 2012 R2。