在沒有 Windows 域的情況下通過 https 轉發 Windows 事件 - 沒有事件 104

按照此答案中的建議，我正在嘗試按照此 Microsoft 指南設置 Windows 事件轉發：

設置事件源與事件收集器電腦不在同一個域中的源啟動訂閱。

我堅持了好幾天，並且已經閱讀了數十次本指南，每隔一段時間就會克服另一個小障礙。我已經走了很遠，但現在我感覺真的被困住了。

我被困在事件源電腦配置的第 7 點：

7. 這些步驟應在您的源電腦事件查看器應用程序和服務日誌\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日誌中生成事件 104，並顯示以下消息：

“轉發器已成功連接到地址處的訂閱管理器，後跟事件 100消息：“訂閱 <sub_name> 已成功創建。” 8. 在事件收集器上，訂閱執行時狀態現在將顯示 1 台活動電腦。

我也不確定第 8 點是什麼意思。對於訂閱執行時狀態命令 ( wecutil gr SubscriptionId)，我需要一個訂閱 ID，但指南沒有告訴創建一個。

我很困惑。你能指出我正確的方向嗎？謝謝。

您需要先創建訂閱，否則不會顯示事件 ID 100。這一步是文件的最後一章（事件訂閱配置）

[...]Right-click Subscriptions and choose “Create Subscription…”  
Give a name and an optional description for the new Subscription.  
Select “Source computer initiated” option and click “Select Computer Groups…”.  
In Computer Groups click on “Add Non-Domain Computers…” and type the event source hostname.[...]

在伺服器上創建訂閱後，電腦將能夠訂閱它（如果在創建訂閱之前他們已經下載了 GPO，則在您在 GPO 中設置的刷新間隔之後）

文件中的第 8 步只是告訴您，在創建訂閱後，您將能夠直接在收集器的事件查看器中列出活動電腦，但是我建議使用命令行工具，因為當您擁有數千台時，GUI 將無法正常執行連接的電腦：wecutil es列出現有訂閱並wecutil gs <subscriptionName>顯示有關訂閱的詳細資訊，

引用自：https://serverfault.com/questions/1049420