Добрый день!

Пытаюсь настроить централизованный сбор событий с серверов, с последующей обработкой событий.

Имеется на тестовом стенде:
vm - DC
vm - Win7

Домен сделан, выполнил следующие настройки:

на Win7 - winrm quickconfig, добавил в группу Читатели журнала событий ПК DC
на DC - создал подписку - Collector initiated,

http://snap.ashampoo.com/uploads/2015-03-11/mEMLMbVo.png

добавил ПК Win7, тест показывает "Conectivity test succeeded",

http://snap.ashampoo.com/uploads/2015-03-11/x8S9BcNn.png

выбрал события

http://snap.ashampoo.com/uploads/2015-03-11/HqPfUO5w.png

В итоге имеются непонятные события, которых нет ни на DC, ни на Win7

http://snap.ashampoo.com/uploads/2015-03-11/uSamENcZ.png


Где что пропустил/забыл?

Как оно обычно и бывает, после поста нашел что где надо было добавить (http://blogs.technet.com/b/mspfe/archive/2011/11/22/setting_2d00_up_2d00_security_2d00_event_2d00_log_2d00_subscriptions_2d00_with_2d00_windows_2d00_ser ver_2d00_20032008.aspx)
Теперь следующий вопрос, евенты приходят но без параметров:

http://snap.ashampoo.com/uploads/2015-03-11/yk4FBOyP.png

Добрый день. Есть задача просмотров журнала на 50 рабочих станции. Не получается настроить получение журналов сервером.
Напишу алгоритм как делал.
1.Создал пользователя EventCollectorUser. Дале ему права группы "Читатели журнала событий".
2.На сервере создалем для рабочих станции групповую политику:
А) В разделе «Конфигурация компьютера — Настройка — Параметры панели управления — Службы» создаем запись службы «Автозагрузка: Автоматически (отложенный запуск)», «Имя службы — Служба удаленного управления Windows (MS-Management) (WinRM)», «Действие службы: Запуск службы»
Б) В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Удаленное управление Windows — Служба удаленного управления Windows» задать параметр «Разрешить удаленное администрирование сервера средствами WinRM : Включить» и разделе параметра «Фильтр IPv4″ поставить значение «*».
В)В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Брандмауэр Windows в режиме повышенной безопасности – Брандмауэр Windows в режиме повышенной безопасности – Правила для входящих подключений» создаем новое правило. Выбираем пункт «Предопределенные правила» и в списке выбираем «Удаленное управление Windows (HTTP — входящий трафик)»
Г)В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Пересылка событий» задать параметр «Настроить конечный диспетчер подписки» и в разделе параметра «SubscriptionManagers» вписал: Server=dc1.****.****:5985/wsman/SubscriptionManager/WEC
Д)В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Группы с ограниченным доступом» добавляем новую группу «Читатели журнала событий». В члены группы добавляем созданного нами пользователя EventCollectorUser.

На самом сервере :
Идем в оснастку «Просмотр событий – Подписки».
Выбираем справа в меню «Создать подписку…»
Вводим имя подписки: «Security».
Инициировано сборщиком: Выбираем dc1.****.****
Фильтр запроса
Дата любое время
Уровень событий все
По журналу
Журналы событий Все журналы windows.
коды событий:1102,4624,4625,4720,4724,4725,4726,4731,4732,4733,4734,4735,4738,4781,865
Все пользователи
Все компьютеры
В учетной записи пользователя вводим EventCollectorUser и его пароль.

Что я упустил? В папке "Перенаправление событий" информации нет.

Информацию брал с различных источников:
Ссылка1 (https://habrahabr.ru/post/257297/)
Ссылка2 (https://blogs.technet.microsoft.com/mspfe/2011/11/22/setting-up-security-event-log-subscriptions-with-windows-server-20032008/)

При вводе команды на Сервере
winrm id -auth:none -remote:имя удаленной машины
выводит:
IdentifyResponse
ProtocolVersion = http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor = Microsoft Corporation
ProductVersion = OS: 0.0.0 SP: 0.0 Stack: 2.0