在哪里应用Windows事件转发(WEF)订阅筛选器？

Question

我在实验室域中配置了Windows事件转发(WEF)，并且正在设置订阅。我的订阅是在我的DC上配置的，并且是源启动的，收集器是DC01.acme.com，源是WIN7.acme.com和WIN10.acme.com。假设我为订阅配置了以下查询筛选器：

这意味着我只想要ID 4776被转发到DC01.acme.com的安全事件日志，这就像一个魅力，这里没有问题。我唯一的问题是:在DC (收集器)或工作站(源)中，过滤器真正应用在哪里？在我看来，有两种可能的情况：

1. 源转发所有事件日志，这些日志到达收集器，然后收集器应用筛选器。
2. 源将筛选器应用于本地，并且只将预期的事件日志转发给收集器。

Answer 1

要回答您的问题，过滤将应用于源(例如服务器、工作站、.)而不是在收藏家身上。这意味着，如果指定单个事件ID，则收集器服务器将只收集指定的事件ID (根据您的问题选择2)。