Windows Event Log 구독 설정 (Subscribe Event Log)

1. 구성하고자하는 환경에 DNS와 Domain Controller가 포함된 서버가 설정 되어야 합니다.

2. 로그를 수집하고자 하는 서버에 이벤트 뷰어 > 구독을 추가합니다. 참고로 원격지 이벤트를 가져오기 위해서는 Event Log Readers라는 Builtin Group에 계정이 포함되어야 합니다.

3. 기본 설정 사항이지만 Event Log를 수집하기 위해서는 Windows Event Log 서비스가 실행되어야 합니다.

4. 이벤트 뷰어를 실행시킨후 구독 > 구독 만들기를 클릭합니다.

구독 이름 , 설명, 

5. 수집기 Log수집의 대상 Client를 지정하는 설정입니다.  도메인컴퓨터 추가 후 테스트를 실행합니다.

6. 위와 테스트 설정 전 Client PC에서 Winrm 설정을 실행합니다.

7. 위 설정을 마치면 방화벽 인바운드 규칙에 Windows 원격 관리에 대한 Port허용 설정이 추가 됩니다.

8. 고급 구독 설정에서 Client의 로그에 대한 읽기 권한이 있는 사용자를 지정하고 대역폭을 설정합니다.

9. Client PC에서 wevtutil set-log security /ca:"O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)"  명령어로 네트워크 서비스 권한을 추가 합니다.

10. 위 설정이 완료 되면 Windows 로그에 Forwarding Evnets가 추가되고 5번에서 추가된 Client의 로그를 가져오는 것을 확인할 수 있습니다.