Para configurar los aspectos comunes de la suscripción (ya sea collector Initiated o Source Computer Initiated) ver este vínculo
Configurando Suscripción en modo Source Computer Initiated
En este modo de suscripción, las computadoras que generan los eventos, se contactarán mediante Windows Remote Management para enviar la información y que la estación de trabajo o servidor recolector guarde los eventos según la configuración de la suscripción.
Una vez seleccionada Source Computer Initiated, permitirá seleccionar que computadoras estarán habilitadas a enviar eventos a través de la suscripción. (observar, que por medio de certificados digitales, se podrían recibir eventos de Servidores que están fuera del dominio)
Luego hay que habilitar el servicio WinRM en la PC Recolectora. Esto se realiza mediante
WinRM qc
Esto es necesario en la PC que configuramos la recoleción de la suscripción ya que las PC que generen los eventos se contactarán por Windows Remote Management para enviar la información.
Una vez seleccionadas, lo que resta es configurar en las Computadoras Origen, las opciones para que envíen esos sucesos.
Configurando WinRM y HTTP Listener en la computadora que reenviará los eventos
Desde la PC que generará los eventos se debe configurar el Listener HTTP para que WinRM reciba las peticiones desde el servidor o estación de trabajo que recolecta los eventos. Para ello tendremos que levantar una ventana de línea de comando y ejecutar el siguiente comando:
winrm qc
Este comando preguntará si desean habilitar el listener HTTP en todas las IPs que estén configuradas en este servidor.
(Ojo!! si hay un IIS – para más información leer este Vínculo)
Configurando las Source Computer para que reenvien eventos a la consola Recolectora
A parte de habilitar WinRM (como se ve en este vínculo) deberemos configurar una política de grupo (o la política local) para que estas computadoras envíen los eventos al WebService de Management (Windows Remote Management) mediante HTTP.
La política a configurar se encuentra en
Computer ConfigurationAdministrative TemplatesWindows ComponentsEvent Forwarding y se llama Configure the Server, Refresh Interval, and Issuer Certificate Authority of a target Subscription Manager
Al hacer Doble Click sobre esa política, primero hay que habilitarla, y luego configurar los Subscription Managers (clickeando en el botón Show)
En este lugar se debe agregar lo siguiente
http[s]://<TargetServer>/wsman/SubscriptionManager/WEC,Refresh=<Seconds>
donde:
Http[s]: es el protocolo a utilizar (en este caso no estamos utilizando certificados y sería http.
<TargetServer>: es la estación de trabajo o servidor que recolectará los eventos (en donde definimos las configuración de la suscripción Source Computer Initiated)
<Seconds>: será el tiempo, en segundos, que el sistema operativo envíe los eventos.
Una vez configurado, resta actualizar la política mediante GPUpdate.
Por último resta verificar la configuración y empezar a ver los eventos, continuando en este vínculo