Собираем события из журнала с др. ПК
 

Добрый день!

Пытаюсь настроить централизованный сбор событий с серверов, с последующей обработкой событий.

Имеется на тестовом стенде:
vm - DC
vm - Win7

Домен сделан, выполнил следующие настройки:

на Win7 - winrm quickconfig, добавил в группу Читатели журнала событий ПК DC
на DC - создал подписку - Collector initiated,



добавил ПК Win7, тест показывает "Conectivity test succeeded",



выбрал события



В итоге имеются непонятные события, которых нет ни на DC, ни на Win7




Где что пропустил/забыл?

Как оно обычно и бывает, после поста нашел что где надо было добавить
Теперь следующий вопрос, евенты приходят но без параметров:

Добрый день. Есть задача просмотров журнала на 50 рабочих станции. Не получается настроить получение журналов сервером.
Напишу алгоритм как делал.
1.Создал пользователя EventCollectorUser. Дале ему права группы "Читатели журнала событий".
2.На сервере создалем для рабочих станции групповую политику:
А) В разделе «Конфигурация компьютера — Настройка — Параметры панели управления — Службы» создаем запись службы «Автозагрузка: Автоматически (отложенный запуск)», «Имя службы — Служба удаленного управления Windows (MS-Management) (WinRM)», «Действие службы: Запуск службы»
Б) В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Удаленное управление Windows — Служба удаленного управления Windows» задать параметр «Разрешить удаленное администрирование сервера средствами WinRM : Включить» и разделе параметра «Фильтр IPv4″ поставить значение «*».
В)В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Брандмауэр Windows в режиме повышенной безопасности – Брандмауэр Windows в режиме повышенной безопасности – Правила для входящих подключений» создаем новое правило. Выбираем пункт «Предопределенные правила» и в списке выбираем «Удаленное управление Windows (HTTP — входящий трафик)»
Г)В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Пересылка событий» задать параметр «Настроить конечный диспетчер подписки» и в разделе параметра «SubscriptionManagers» вписал: Server=dc1.****.****:5985/wsman/SubscriptionManager/WEC
Д)В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Группы с ограниченным доступом» добавляем новую группу «Читатели журнала событий». В члены группы добавляем созданного нами пользователя EventCollectorUser.

На самом сервере :
Идем в оснастку «Просмотр событий – Подписки».
Выбираем справа в меню «Создать подписку…»
Вводим имя подписки: «Security».
Инициировано сборщиком: Выбираем dc1.****.****
Фильтр запроса
Дата любое время
Уровень событий все
По журналу
Журналы событий Все журналы windows.
коды событий:1102,4624,4625,4720,4724,4725,4726,4731,4732,4733,4734,4735,4738,4781,865
Все пользователи
Все компьютеры
В учетной записи пользователя вводим EventCollectorUser и его пароль.

Что я упустил? В папке "Перенаправление событий" информации нет.

Информацию брал с различных источников:
Ссылка1
Ссылка2

При вводе команды на Сервере
выводит: