Para o Windows Vista, 7 e 2008:
O serviço Windows-Eventcollector (wecsvc) nos computadores de origem, que encaminha os eventos para o (s) computador (es) coletor (es) se você estiver usando Assinatura iniciada por origem, é executado como conta "Serviço de rede". Mas a conta de serviço de rede não tem acesso ao log de eventos de segurança. O grupo local "Event Log Readers" tem acesso a todos os logs. Isso significa que em cada computador de origem você precisa adicionar a conta "Serviço de Rede" ao grupo "Event Log Readers" local para que o serviço Windows-Eventcollector tenha acesso ao log de eventos de Segurança e possa encaminhá-lo para o coletor-computador. (s).
Usando o SDDL (Security Descriptor Definition Language) você também pode redefinir as permissões nos diferentes logs de eventos usando o wevtutil, mas isso é mais complexo, o que significa que você pode facilmente quebrar algo ou causar efeitos indesejados se não ler isso e cuidadosamente formule o SDDL antes de fazer qualquer coisa.