WEF coleta logs do Windows Defender de clientes no Windows Server 2012 R2

Question

WEF coleta logs do Windows Defender de clientes no Windows Server 2012 R2

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Estou tentando configurar o encaminhamento de eventos do Windows em um servidor coletor do Windows 2012 R2. Eu estava olhando para coletar eventos do Windows Defender, que vem por padrão no Windows 7 e 8 clientes. Eu sei que o Windows Defender não é suportado pela Microsoft em 2012 R2. Eu só quero coletar os eventos com uma assinatura dos clientes suportados. Quando olho no log de Aplicativos e Serviços, não consigo encontrar o aplicativo do Windows Defender no servidor de coletor (porque acho que o recurso não está instalado, portanto, não pode ser listado aqui).

O caminho deve ser o seguinte:

Logs de aplicativos e serviços / Microsoft / Windows / Windows Defender / Operacional,

como descrito nesta postagem do technet: link

Talvez alguém que saiba como posso coletar esses registros? Ou devo criar um script PS que mova os logs desejados para outro local, como o log de segurança, para que o meu servidor 2012R2 possa coletar os eventos?

powershell windows-server-2012-r2 windows-event-log eventviewer

por frederict 07.03.2017 / 15:34

3 respostas

Tags powershell windows-server-2012-r2 windows-event-log eventviewer

Observium comunidades padrão snmp v3 para descoberta automática Jenkins Master com alto uso da CPU

score 0 · Answer 1

Copie o XML do visualizador de eventos de outro computador que tenha o log de eventos. Clique com o botão direito em > Filtrar > Guia XML. Adicione esse XML à sua assinatura do coletor ou crie uma nova assinatura.

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
    <Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select>
  </Query>
</QueryList>

score 0 · Answer 2

0

O Windows fornece o recurso de encaminhamento de eventos. consulte o link: link

por 23.05.2017 / 16:32

score 0 · Answer 3

Configurei com êxito o Server 2012 R2 como o Event Collector Server para o Windows Defender. A seguir estão as etapas.

Na estação de trabalho Windows 10 / 8.1, crie uma exibição de evento personalizada e selecione Windows Defender / Operation.

Exportar exibição personalizada e copiar o arquivo XML para o Server 2012 R2.

Importe o arquivo XML para exibições personalizadas no Server 2012 R2. Haverá um erro. Você pode ignorar esse erro porque não há o Windows Defender no Server 2012 R2.

Crie uma assinatura no Server 2012 R2. Clique na seta para baixo em Select Events ... e selecione Copy from Custom View existente e selecione as estações de trabalho Source.

É isso. O evento do Windows Defender deve encaminhar para o Server 2012 R2.