วิธีใช้ Event Forwarding บน Windows Server 2025 รวม Log จากทุกเซิร์ฟเวอร์ไว้ที่เดียว

Windows Event Forwarding (WEF) เป็นฟีเจอร์ที่ช่วยให้ Windows Server 2025 สามารถรวบรวม Event Logs จาก Server หลายเครื่องมายังเครื่องกลางได้อัตโนมัติ ช่วยให้ผู้ดูแลระบบตรวจสอบ Security Logs, System Logs และ Application Logs ได้จากจุดเดียว

ในองค์กรที่มีเซิร์ฟเวอร์จำนวนมาก การเข้าไปเปิด Event Viewer ทีละเครื่องเป็นเรื่องที่เสียเวลาและเสี่ยงต่อการพลาดเหตุการณ์สำคัญ Event Forwarding จึงเป็นหนึ่งในพื้นฐานของระบบ Security Monitoring และ SOC (Security Operations Center)

Microsoft แนะนำให้ใช้งาน Event Forwarding ก่อนก้าวไปสู่ระบบ SIEM ขนาดใหญ่ เพราะเป็นฟีเจอร์ฟรีที่มีอยู่ใน Windows อยู่แล้ว

① Event Forwarding คืออะไร

Event Forwarding คือระบบส่ง Event Logs จากเครื่องต้นทาง (Source Computer) ไปยังเครื่องปลายทาง (Collector Server)

สามารถรวบรวม

  • Security Logs
  • System Logs
  • Application Logs
  • Defender Logs
  • PowerShell Logs
  • Audit Logs

ไว้ในจุดเดียว

ทำให้การตรวจสอบและสืบสวนเหตุการณ์ทำได้ง่ายขึ้นมาก

② ทำไมต้องใช้ Event Forwarding

ประโยชน์หลัก

  • รวม Logs จากหลายเครื่อง
  • ลดเวลาในการตรวจสอบ
  • ตรวจจับการโจมตีได้เร็วขึ้น
  • ลดความเสี่ยงจาก Log สูญหาย
  • รองรับ Incident Response

เหมาะสำหรับองค์กรที่มี Server มากกว่า 2–3 เครื่องขึ้นไป

③ Event Forwarding ทำงานอย่างไร

องค์ประกอบหลัก

Source Computer

เครื่องที่ส่ง Log

Collector Server

เครื่องที่รับ Log

Subscription

กฎที่กำหนดว่าจะส่ง Event อะไร

เมื่อมี Event เกิดขึ้น

ระบบจะส่งข้อมูลมายัง Collector อัตโนมัติ

④ ข้อกำหนดก่อนใช้งาน

ควรมี

  • Windows Server 2025
  • Domain Environment
  • WinRM เปิดใช้งาน
  • Network เชื่อมต่อกันได้

แนะนำให้ใช้ Active Directory เพื่อให้ง่ายต่อการจัดการ

⑤ วิธีเปิดบริการ Event Collector

บน Collector Server

เปิด PowerShell

wecutil qc

ตอบ

Y

ระบบจะเปิด

  • Windows Event Collector
  • WinRM

ให้อัตโนมัติ

⑥ วิธีตรวจสอบ Event Collector Service

ใช้คำสั่ง

Get-Service Wecsvc

ควรแสดง

Running

หากไม่ทำงาน

Start-Service Wecsvc

⑦ วิธีเปิด WinRM

บน Source Server

ใช้คำสั่ง

winrm quickconfig

ตอบ

Y

เพื่อเปิด Remote Management

⑧ วิธีสร้าง Event Subscription

เปิด

eventvwr.msc

เลือก

Subscriptions

เลือก

Create Subscription

กำหนด

  • ชื่อ Subscription
  • Source Computers
  • Event Filter

จากนั้นบันทึก

⑨ วิธีเลือก Event ที่ต้องการรวบรวม

ตัวอย่าง Event สำคัญ

Login สำเร็จ

4624

Login ล้มเหลว

4625

Administrator Login

4672

File Access

4663

User Creation

4720

แนะนำให้เริ่มจาก Event เหล่านี้ก่อน

⑩ วิธีเพิ่ม Source Computer

ใน Subscription

เลือก

Select Computers

เพิ่ม

  • Domain Controller
  • File Server
  • Application Server
  • Database Server

ที่ต้องการส่ง Log

⑪ วิธีตรวจสอบ Log ที่ถูกส่งมา

บน Collector Server

เปิด

Forwarded Events

จะพบ Event ที่ถูกส่งมาจากทุกเครื่อง

พร้อมข้อมูล

  • Computer Name
  • Event ID
  • เวลา
  • Username

⑫ Event Forwarding กับ SIEM ต่างกันอย่างไร

Event Forwarding

  • ฟรี
  • ใช้งานง่าย
  • รวม Log ได้

SIEM

  • วิเคราะห์ภัยคุกคาม
  • Correlation
  • Alert อัตโนมัติ
  • Dashboard

หลายองค์กรเริ่มจาก Event Forwarding ก่อนลงทุน SIEM

⑬ Event Forwarding กับ Domain Controller

ควรรวบรวม

  • Login Events
  • Account Management
  • Group Membership Changes
  • Kerberos Events

เพราะเป็นข้อมูลสำคัญที่สุดด้าน Security

⑭ ข้อผิดพลาดที่พบบ่อย

WinRM ไม่เปิด

ทำให้ส่ง Log ไม่ได้

Firewall บล็อก

เครื่องไม่สามารถเชื่อมต่อกันได้

Subscription ผิด

ไม่มี Event ถูกส่งมา

Collector Storage ไม่เพียงพอ

Log อาจเต็มและสูญหาย

⑮ แนวทางการเก็บ Log ระยะยาว

ควรจัดเก็บ

  • 90 วัน
  • 180 วัน
  • 1 ปี

ตามนโยบายองค์กร

โดยเฉพาะข้อมูลด้าน Security

⑯ Best Practice สำหรับองค์กร

  • ใช้ Collector Server แยกเฉพาะ
  • Forward เฉพาะ Event สำคัญ
  • สำรอง Log เป็นประจำ
  • ตรวจสอบ Subscription รายเดือน
  • ใช้ร่วมกับ Microsoft Sentinel

ทีมงาน comsiam มักกำหนด Event Forwarding เป็นจุดเริ่มต้นของ Security Monitoring สำหรับองค์กรที่ยังไม่มี SIEM เพราะสามารถเริ่มใช้งานได้ทันทีโดยไม่ต้องลงทุนเพิ่มเติม

หลายองค์กรที่ comsiam ดูแลสามารถลดเวลาในการตรวจสอบปัญหาได้อย่างมาก หลังจากรวม Logs ทั้งหมดไว้ในจุดเดียว

⑰ FAQ

Event Forwarding ฟรีหรือไม่

ฟรีและมาพร้อม Windows Server

ใช้กับ Workgroup ได้หรือไม่

ได้ แต่ Domain จะจัดการง่ายกว่า

ควรรวบรวม Event อะไรบ้าง

เริ่มจาก Security Events ก่อน

Event Forwarding แทน SIEM ได้หรือไม่

ไม่ได้ทั้งหมด แต่เป็นจุดเริ่มต้นที่ดีมาก

⑱ สรุป

Event Forwarding เป็นฟีเจอร์สำคัญของ Windows Server 2025 ที่ช่วยรวม Event Logs จากหลายเซิร์ฟเวอร์ไว้ในศูนย์กลางเดียว ทำให้การตรวจสอบความปลอดภัย การสืบสวนเหตุการณ์ และการติดตามพฤติกรรมผิดปกติทำได้ง่ายขึ้นอย่างมาก ถือเป็นรากฐานสำคัญของระบบ Monitoring และ Incident Response ในองค์กรยุคใหม่

⑲ คำถามชวนคิด

หากคืนนี้มีการ Login ล้มเหลวหลายพันครั้งบนเซิร์ฟเวอร์ 20 เครื่องพร้อมกัน คุณจะสามารถเห็นภาพรวมทั้งหมดได้จากจุดเดียว หรือยังต้องเปิด Event Viewer ทีละเครื่องอยู่?

ป้ายกำกับ

Related Posts

Trending now
วิธีทำ TikTok Affiliate ให้คนติดตามเพิ่มขึ้นทุกวัน (Follower Growth Strategy)
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)