介紹

要用Windows Event Collector來收集或轉寄Event Log就不得不了解以下的工具，因為我打算採用WinRM加上Event Subscription來收集網域內的Event Log，這篇將會介紹工具，等下篇會介紹設定的流程。

工具

winrm.exe是設定遠端管理的必要工具，在不用psexec.exe的情況下(有些防毒軟體會判斷這個工具有問題)，通常是沒辦法連到其他主機下指令的，不過只要設定遠端管理(Windows Remote Management)就可以透過enter-pssession下指令給其他主機，雖然這也會成為橫向滲透的門路，但只要謹慎對待就沒問題啦!!(像是設定防火牆限定IP()、設定GPO限制權限與來源等)

總之快速開個WinRM服務，再設個防火牆就沒問題啦(如果有特殊需求再用dcomcnfg或wmimgmt去設定詳細權限就好了)。

winrm qc -q

wecutil.exe是事件收集器的設定工具，如果想要收集或轉寄網域內的Event Log到Log Server就必須要了解一下。這邊也是快速設定服務，其他權限設定跟WinRM服務一樣，依需求再設DCOM+、WMI，這邊分享一下之前的經驗，之前在管理Windows Server 2012的網域時遇到了權限問題(Access Denied)，因為在Windows Server 2016的主機上都沒遇到這個問題，搞了好一陣子，總之需要注意的是要將NETWORK SERVICE加入到Event Log Readers群組裡，然後要重新開機，不然就算設定完也會因為NETWORK SERVICE(the account of the event collector)沒有權限而收不到Log。

wecutil qc /q

(從GPO設定也可以，不過我手邊現成的圖只有這張)