I configured Windows Event Forwarding (WEF) in my LAB domain and I'm setting up subscriptions. My subscription is configured on my DC and is source-initiated, the collector is DC01.acme.com and sources are WIN7.acme.com and WIN10.acme.com. Suppose I have the following query filter configured for my subscription:
This means that I only want Security event logs with ID 4776 forwarded to DC01.acme.com, this works like a charm, no issues here. My only question is: where is the filter really applied, in the DC (collector) or in the workstations (sources)? In my mind there are two possible scenarios:
Чтобы ответить на ваш вопрос, фильтрация применяется к источнику (например, серверам, рабочим станциям, ...), а не к сборщику. Это означает, что если вы укажете один идентификатор события, ваш сервер-сборщик просто соберет указанный идентификатор события (вариант 2 на основе вашего вопроса).