Не работает подписка на "вытягивание" журнала безопасности
 

Добрый день! Пытаюсь сделать форвардинг журналов безопасности с нескольких серверов на один ist-syslogs. На сетевом оборудовании открыл TCP80,5985. Экраны отключил. Коллектор включил в группы админов серверов... Но в подписке тест коннективити дает access denied. Утилита показывает , что проблема с каналом. Хотя в реестре я нашел канал для журнала форвардинга.
C:\Windows\system32>wecutil gr security-ts
Subscription: security-ts
RunTimeStatus: Active
LastError: 0
EventSources:
IST-SECURITY-TS.mrk.usi.ru
RunTimeStatus: Trying
LastError: 5004
ErrorMessage: <f:WSManFault xmlns:f="http://schemas.micr
osoft.com/wbem/wsman/1/wsmanfault" Code="5004" Machine="IST-SECURITY-TS.mrk.usi.
ru"><f:Message><f:ProviderFault provider="Event Forwarding Plugin" path="%system
root%\system32\wevtfwd.dll"><t:ProviderError xmlns:t="http://schemas.microsoft.c
om/wbem/wsman/1/windows/EventLog">Windows Event Forward plugin can't read any ev
ent from the query since the query returns no active channel. Please check chann
els in the query and make sure they exist and you have access to them.</t:Provid
erError></f:ProviderFault></f:Message></f:WSManFault>
Кто-нибудь сталкивался?

А у вас все компьютеры (участники) в домене? А то для workgroup небольшой NTLM-напильник нужен.

Решение найдено. На источнике включить в группу event readers учетку network service

Следует понимать, что если версия операционной системы RU, то кроме группы "event readers" необходимо добавлять "NETWORK SERVICE" в группу «Читатели журнала событий», если управление осуществляется, например, через GPO.