Windows 事件收集器

可以订阅从远程计算机（事件源）转发的本地计算机（事件收集器）上接收和存储事件。 Windows 事件收集器函数 支持使用 WS-Management 协议订阅事件。 有关 WS 管理的详细信息，请参阅 关于 Windows 远程管理。

事件转发和事件收集体系结构

事件收集允许管理员从远程计算机获取事件，并将其存储在收集器计算机上的本地事件日志中。 事件的目标日志路径是订阅的属性。 转发事件中的所有数据都保存在收集器计算机事件日志中（不会丢失任何信息）。 还会向事件添加与事件转发相关的其他信息。 有关如何使计算机能够接收收集的事件或转发事件的详细信息，请参阅 配置计算机以转发和收集事件。

订阅

以下列表描述了事件订阅的类型：

• 源发起的订阅：允许在事件收集器计算机上定义事件订阅，而无需定义事件源计算机。 然后，可以设置多个远程事件源计算机（使用组策略设置）将事件转发到事件收集器计算机。 有关详细信息，请参阅 设置源发起的订阅。 如果不知道或不想指定将转发事件的所有事件源计算机，则此订阅类型非常有用。
• 收集器发起的订阅：如果知道将转发事件的所有事件源计算机，则可以创建事件订阅。 在创建订阅时指定所有事件源。 有关详细信息，请参阅 创建收集器发起的订阅。

Windows 事件收集器函数

有关使用事件收集器函数的详细信息和代码示例，请参阅 使用 Windows 事件收集器。

有关用于收集和转发事件的函数的详细信息，请参阅 Windows 事件收集器函数。