從源啟動的 Windows 事件轉發中刪除 PC？

我已經用Google搜尋了這個並沒有找到任何答案。

（是的，我也在 TechNet 上發布了關於此的內容）

我有一些已退役並顯示為“非活動”的工作站。我想將它們從訂閱中刪除，以盡量減少錯誤的出現。

這裡的答案是收集器啟動的設置（這需要您執行 C++ 程式碼？？）。

有沒有人找到一種簡單的方法來刪除源啟動的PC？

查看此頁面上的“系統資料庫大小”說明。

對於連接到 WEF 訂閱的每個唯一設備，都會創建一個系統資料庫項（對應於 WEF 客戶端的 FQDN）來儲存書籤和源心跳資訊。如果不對其進行修剪以刪除不活動的客戶端，則此系統資料庫項集可能會隨著時間的推移增長到無法管理的大小。

就像刪除 Windows 事件收集器伺服器上的系統資料庫項一樣簡單。您可以編寫一個腳本來比較系統資料庫中的客戶端列表和活動目錄中的活動客戶端列表。然後刪除 AD 中不存在或一段時間未經過身份驗證的客戶端的密鑰。

這些鍵位於您的每個 Windows 事件收集器伺服器上：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Subscriptions\<SubscriptionName>

引用自：https://serverfault.com/questions/910061