Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:

1. Aktivieren der Überwachungsprotokollierung am DC
2. Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
   Powershell:
   
   Add-ADGroupMember –identity ‘Ereignisprotokollleser’ –member FS01$
   
   
3. GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
   Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
   
   alternativ über:
   
   wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’
   

   wevtutil get-log security
   

   Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.