Where are Windows Event Forwarding (WEF) subscriptions filters applied?
I configured Windows Event Forwarding (WEF) in my LAB domain and I'm setting up subscriptions. My subscription is configured on my DC and is source-initiated, the collector is DC01.acme.com and sources are WIN7.acme.com and WIN10.acme.com. Suppose I have the following query filter configured for my subscription:
This means that I only want Security event logs with ID 4776 forwarded to DC01.acme.com, this works like a charm, no issues here. My only question is: where is the filter really applied, in the DC (collector) or in the workstations (sources)? In my mind there are two possible scenarios:
- Source forwards all event logs, those logs arrive at the collector а затем сборщик применяет фильтр
- Источник применяет фильтр локально и пересылает только предполагаемые журналы событий сборщику
Чтобы ответить на ваш вопрос, фильтрация применяется к источнику (например, серверам, рабочим станциям, ...), а не к сборщику. Это означает, что если вы укажете один идентификатор события, ваш сервер-сборщик просто соберет указанный идентификатор события (вариант 2 на основе вашего вопроса).