轉遞的事件

為了更充分地瞭解轉遞的事件，瞭解如何配置及設定 Windows 事件轉遞 (WEF) 會很有幫助。

Windows 事件轉遞基本觀念

Windows 事件轉遞 (WEF) 是一個功能強大的日誌轉遞解決方案，整合在 Microsoft Windows的現代版本中。如需 WEF 的詳細文件，請參閱 Microsoft 文件頁面。以下是世界經濟論壇的摘要:

「Windows 事件轉遞」可讓您透過推送或取回機制，將事件日誌傳送至一或多個集中式 Windows Event Collector (WEC) 伺服器。
世界經濟論壇沒有代理程式，依賴整合到作業系統中的原生元件。 Windows 的工作站和伺服器建置都支援 WEF。
WEF 支援透過 Kerberos (在網域中) 進行交互鑑別及加密，也可以透過使用 TLS (其他鑑別或非網域結合機器) 來延伸。
WEF 具有豐富的 XML 型語言，可控制提交哪些事件 ID、抑制雜訊事件、一起批次處理事件，以及配置提交頻率。訂閱 XML 支援 XPath的子集，這可簡化撰寫表示式的程序，以選取您感興趣的事件。

三個因素會限制 WEC 伺服器的可調整性。商用硬體上穩定 WEC 伺服器的一般規則是 “10k x 10k" ，表示每個 WEC 伺服器不超過 10,000 個並行作用中的 WEF 用戶端，且每秒平均事件量不超過 10,000 個事件。

磁碟 I/O

WEC 伺服器不會處理或驗證接收的事件，而是會緩衝接收的事件，然後將它記載至本端事件日誌檔 (EVTX 檔案)。記載至 EVTX 檔案的速度受到磁碟寫入速度的限制。將 EVTX 檔案隔離到它自己的陣列或使用高速磁碟，可以增加單一 WEC 伺服器每秒可以接收的事件數。

網路連線數

雖然 WEF 來源不會維護與 WEC 伺服器的永久持續連線，但在傳送事件之後不會立即中斷連線。這表示可以同時連接至 WEC 伺服器的 WEF 來源數目限制為 WEC 伺服器上可用的開放式 TCP 埠。

登錄大小

對於連接至 WEF 訂閱的每一個唯一裝置，會建立登錄機碼 (對應於 WEF 用戶端的 FQDN) ，以儲存書籤及來源活動訊號資訊。如果未刪改此資訊以移除非作用中用戶端，則這組登錄機碼可能會在一段時間內成長至無法管理的大小。

當訂閱超過 1000 個 WEF 來源在其生命期限內與其連線時 (WEF 來源) ，「事件檢視器」上的「訂閱」節點可以在幾分鐘內變成無回應，但之後會正常運作。
在超過 50,000 個生命期限的 WEF 來源中，「事件檢視器」不再是選項，您必須使用 wecutil.exe (隨附於 Windows) 來配置及管理訂閱。
在超過 100,000 個生命期限的 WEF 來源中，登錄不再可讀取， WEC 伺服器可能需要重建。

配置 Windows 事件轉遞之後，您可以配置 WinCollect 代理程式來收集 WEF 事件:

附註：

在世界經濟論壇環境中，代理程式支援的 EPS 上限為 10,000 EPS。
雖然 WinCollect 代理程式在使用者介面中僅顯示單一來源，但該來源會接聽並處理可能數百個事件訂閱的事件。代理程式清單中的一個來源適用於所有事件訂閱。代理程式會辨識來自訂閱的事件，處理內容，然後將 Syslog 事件傳送至 QRadar ®。
轉遞的事件在日誌活動標籤中顯示為 Windows 鑑別 @ <hostname> 。