Отключить ПК от исходной пересылки событий Windows?
Я погуглил и не нашел ответов.
(да, я также писал об этом в TechNet)
У меня есть несколько рабочих станций, которые выведен из эксплуатации и отображается как "Неактивный". Я хотел бы удалить их из подписки, чтобы свести к минимуму появление ошибок.
Ответ здесь был для настроек, инициируемых сборщиком (что требует запуска кода C ++ ??).
Кто-нибудь нашел простой способ удалить ИНИЦИАТИРУЕМЫЕ ИСТОЧНИКОМ ПК?
Просмотрите примечание "размер реестра" на этой странице .
Для каждого уникального устройства, которое подключается к подписке WEF, существует ключ реестра (соответствующий FQDN клиента WEF)создан для хранить закладки и информацию об источнике пульса. Если это не обрезать для удаления неактивных клиентов этот набор ключей реестра может быть увеличен до неуправляемый размер с течением времени.
Это так же просто, как удалить раздел реестра на сервере Windows Event Collector. Вы можете написать сценарий для сравнения списка клиентов в реестре со списком активных клиентов в вашем активном каталоге. Затем удалите ключи для клиентов, которые не существуют в AD или не прошли проверку подлинности в течение некоторого времени.
Эти ключи находятся здесь на каждом из ваших серверов сборщика событий Windows: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ EventCollector \ Subscriptions \
Для управления подписками есть команда Windows wecutil.exe.
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wecutil
wecutil ss "Event subscription name" /res /esa:eventsourcecomputername.domain.com