Event Log收集方式(Subscription類型)

Windows Event Log Collector提供了以下兩種方式收集Log，個人偏好由主機主動將Log送給Log Server(Collector)，主要是因為可以從GPO設定，管理好GPO就萬事大吉了：

設定Subscription

因為我偏好Source-initiated subscriptions，下面就介紹Source-initiated subscriptions的設法，因為是網域內的主機，就不介紹網域外的設定方法。在用GPO開通相關服務前，先在Log Server上設定WEC，不然事件轉寄(Event Forwarding)的GPO設定以後會有很多關於服務沒開或URL錯誤的Error(event code 105 in Eventlog-ForwardingPlugin)，再設個GPO和Subscription就好了，總之就是以下步驟：

1. 開通Log Server的WEC服務，用前一天介紹的wecutil來設定

2. 設定遠端管理(Windows Remote Management (WinRM))和事件轉寄(Event Forwarding)的GPO，分別在Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Services和Computer Configuration > Policies > Administrative Templates > Windows Components > Event Forwarding，

3. 到事件檢視器(Event Viewer)調整Forwarding Events的大小與位置，如果遇到存取被拒的問題，就試試看把NT SERVICE\eventlog加到那個資料夾的安全性群組裡，並設成完全控制(Full Control)。(Optional)

4. 設定subscription和Source，在選取電腦群組內設定Source和收集的Event就完成了!!