Какие возможности предоставляют WEC-серверы для мониторинга событий в Windows?

WEC-серверы (Windows Event Collector) предоставляют следующие возможности для мониторинга событий в Windows: systemsecurity.com

• Централизованное хранение событий. systemsecurity.com WEC-сервер получает события от источников и обеспечивает их локальное хранение. kb.kuma-community.ru
• Определение нескольких политик сбора событий. systemsecurity.com Например, можно настроить базовую политику для всех хостов Windows, политику высокой видимости для критических систем или политику подозрений для хостов, которые могли быть скомпрометированы. systemsecurity.com
• Настройка двух типов подписок: kb.kuma-community.ru
• Source-initiated subscriptions (Push) — события отправляются источником. kb.kuma-community.ru Источники настраиваются на отправку событий на WEC-сервер с помощью GPO. kb.kuma-community.ru
• Collector-initiated subscriptions (Pull) — события собираются WEC-сервером самостоятельно. kb.kuma-community.ru WEC-сервер подключается к рабочим станциям/серверам и забирает события из локальных журналов. kb.kuma-community.ru

Взаимодействие между WEC-сервером и источниками событий осуществляется с использованием протокола удалённого управления Windows (WS-Management protocol). kb.kuma-community.ru