Normalt vil man sætte Eventforward op med policies, men her er et powershell script som vil udføre det samme som en standard "event forward" gpo.

Kan være nemt at bruge hvis man skal køre en mindre "POC" eller blot enkelte server skal køre med "eventforward" og man ikke vil til at sætte en filter på en GPO

$OpRetEventforwardKey = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager"

write-host $OpRetEventforwardKey 

if (!(test-path $OpRetEventforwardKey   ))

{

  new-Item -Path $OpRetEventforwardKey  -Force

}

Set-ItemProperty -Path $OpRetEventforwardKey -Name '1' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force

Set-ItemProperty -Path $OpRetEventforwardKey -Name '2' -Value "Server=http://server.fqdn.name:5985/wsman/SubscriptionManager/WEC,Refresh=3600" -Type string -force

 

$wevtutil = "C:\windows\system32\wevtutil.exe"

$wevtutilarg =  "sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"

$process = start-process $wevtutil -ArgumentList $wevtutilarg -PassThru -Wait

$process.ExitCode

 

#net localgroup "Event Log Readers" NetworkService /add

Add-LocalGroupMember -Group "Event Log Readers" -Member NetworkService