Se você estiver se referindo ao recurso de Log de Eventos do Windows, há um recurso interno para criar assinaturas e designar máquinas específicas como coletores. As assinaturas podem ser push ou pull e usam uma sintaxe XQuery / XPath.
Se você quiser encaminhar outros tipos de dados, talvez deseje examinar o Snare ou algum outro mecanismo de log do Windows. O Snare existe há sempre, existem agentes e servidores, e é open source:
link
Se não for um log de eventos do Windows, você pode estar interessado no agente do Windows "Epilog".
A frequência depende dos requisitos e dos recursos de rede disponíveis. Se tudo estiver em uma LAN local, os recursos de rede não são tão importantes. Para o encaminhamento interno de eventos do Windows, eu não coletaria eventos com mais de 30 minutos, a menos que seja para segurança urgente ou para fins financeiros. Normalmente, se o log de eventos não for rolado, os eventos não serão perdidos. Snare é uma fera diferente. Não tenho certeza dos recursos de agendamento ou limitação. Nossos agentes Snare são usados para retransmitir informações de auditoria de segurança, portanto, eles estão constantemente transmitindo dados do syslog de volta para os coletores. O Syslog geralmente é UDP, portanto, isso pode não ser tão confiável quanto o subsistema de eventos do Windows para mensagens de auditoria de segurança do Windows.