0

我有 3 个域控制器转发事件和 1 个收集器从这 3 个源机器收集安全事件,它们都在同一个域上。

但是重新启动 Windows 事件收集器后,我转到收集器机器 -> 事件查看器 -> 订阅 -> 右键单击​​订阅的名称 -> 选择运行时状态,我将看到所有这 3 台源机器都处于非活动状态。

我不知道如何立即启动它们,尽管我仍然有一些客户端机器生成事件并发送到这 3 个 DC。但它们最终会打开,比如半小时后。

4

1 回答 1

1

事件转发之前是否工作并且刚刚停止工作,或者您仍在尝试设置它?我认为您只需要耐心等待他们连接即可。您是否经常重启事件收集站?此外,仅仅因为它说“不活动”并不意味着有问题。我发现服务器偶尔会被列为不活动,但它们转发事件没有问题。

您是否使用源发起的事件转发?如果是这样,请确认 GPO 中的语法 - 确保您有 FQDN 并且没有空格: 在此处输入图像描述

于 2014-10-03T15:01:03.630 回答