Windows Event Forwarding

Windows Ereignisse weiterleiten

Windows Event Forwarding

Windows verwendet einen Industriestandard zum Weiterleiten von Ereignisprotokollen, sodass wir Protokolle an jedes Windows-System oder ein SIEM Produkt senden können.

Die Weiterleitung von Windows Ereignissen ist in wenigen Schritten eingerichtet.

Zum einen muss die Quelle so konfiguriert werden, dass ein Client System darauf zugreifen darf, und zum anderen benötigt der Client ein aktives Abonnement.

Auf dem Quell-System muss zuerst der Ereignissammler (Event Collector) konfiguriert werden.

Dazu öffnen wir die CMD und führen folgenden Befehl aus:

Windows Ereignisse weiterleiten