Windows 事件收集器

可以订阅从远程计算机 (事件源) 转发的本地计算机 (事件收集器) 接收和存储事件。 Windows事件收集器函数支持使用 WS-Management 协议订阅事件。 有关 WS 管理的详细信息,请参阅关于Windows远程管理

事件转发和事件收集体系结构

事件收集允许管理员从远程计算机获取事件,并将其存储在收集器计算机上的本地事件日志中。 事件的目标日志路径是订阅的属性。 转发事件中的所有数据都保存在收集器计算机事件日志中, (不会丢失任何信息) 。 与事件转发相关的其他信息也会添加到事件。 有关如何使计算机能够接收收集的事件或转发事件的详细信息,请参阅 配置计算机以转发和收集事件

订阅

以下列表描述了事件订阅的类型:

  • 源启动的订阅:允许在事件收集器计算机上定义事件订阅,而无需定义事件源计算机。 然后,可以使用组策略设置) 将事件转发到事件收集器计算机, (设置多个远程事件源计算机。 有关详细信息,请参阅 设置源启动的订阅。 当不知道或不想指定将转发事件的所有事件源计算机时,此订阅类型非常有用。
  • 收集器启动的订阅:如果知道将转发事件的所有事件源计算机,则可以创建事件订阅。 在创建订阅时指定所有事件源。 有关详细信息,请参阅 创建收集器启动的订阅

Windows事件收集器函数

有关使用事件收集器函数的详细信息和代码示例,请参阅使用Windows事件收集器

有关用于收集和转发事件的函数的详细信息,请参阅Windows事件收集器函数