Windows Event Forwarding
Windows verwendet einen Industriestandard zum Weiterleiten von Ereignisprotokollen, sodass wir Protokolle an jedes Windows-System oder ein SIEM Produkt senden können.
Die Weiterleitung von Windows Ereignissen ist in wenigen Schritten eingerichtet.
Zum einen muss die Quelle so konfiguriert werden, dass ein Client System darauf zugreifen darf, und zum anderen benötigt der Client ein aktives Abonnement.
Auf dem Quell-System muss zuerst der Ereignissammler (Event Collector) konfiguriert werden.
Dazu öffnen wir die CMD und führen folgenden Befehl aus: