Вопросы Теги

WEF собирает журналы Защитника Windows от клиентов на Windows Server 2012 R2

Я пытаюсь настроить пересылку событий Windows на сервере-сборщике Windows 2012 R2. Я искал собирать события из Защитника Windows, который по умолчанию установлен в клиентах Windows 7 и 8. Я знаю, что Защитник Windows не поддерживается Microsoft в 2012 R2. Я просто хочу собирать события с подпиской от поддерживаемых клиентов. Когда я смотрю в журнал приложений и служб, я не могу найти приложение Защитника Windows на сервере-сборщике (потому что я думаю, что функция не установлена, поэтому ее нельзя здесь указать).

Путь должен быть таким следуйте:

Журналы приложений и служб / Microsoft / Windows / Защитник Windows / Operational,

, как описано в этом сообщении в техническом сообщении: https://answers.microsoft. com / en-us / protect / forum / protect_defender-protect_start / access-scan-logs / 1066927e-35c8-4e66-ae3b-ca542776312c

Может быть, кто-нибудь знает, как мне собрать эти логи? Или мне следует создать сценарий PS, который перемещает нужные журналы в другое место, например в журнал безопасности, чтобы мой сервер 2012R2 мог собирать события?

1
задан 7 March 2017 в 16:34
3 ответа

Скопируйте XML из средства просмотра событий с другого компьютера, на котором есть журнал событий. Щелкните правой кнопкой мыши> Фильтр> вкладка XML. Добавьте этот XML в свою подписку на сборщик или создайте новую подписку. 

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
    <Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select>
  </Query>
</QueryList>
0
ответ дан 4 December 2019 в 05:07

Windows предоставляет функцию пересылки событий. см. ссылку: https://www.youtube.com/watch?v=sZj_9e3AHFk

0
ответ дан 4 December 2019 в 05:07

Я успешно установил Server 2012 R2 в качестве сервера сборщика событий для Защитника Windows. Ниже приведены шаги.

На рабочей станции Windows 10 / 8.1 создайте настраиваемое представление событий и выберите Защитник Windows / Операция.

Экспортируйте настраиваемое представление и скопируйте файл XML на Server 2012 R2.

Импортируйте файл XML в настраиваемое представление на сервере 2012 R2. Произойдет ошибка. Вы можете игнорировать эту ошибку, потому что на Server 2012 R2 нет Защитника Windows.

Создайте подписку на Server 2012 R2. Нажмите стрелку вниз на «Выбрать события ...», выберите «Копировать из существующего пользовательского представления» и выберите исходные рабочие станции.

Вот и все. Событие Защитника Windows должно перенаправляться на Server 2012 R2.

0
ответ дан 4 December 2019 в 05:07

Теги

Похожие вопросы