Danke für deine Antwort.
Zu 2. habe ich noch eine Frage. Ich habe die Event Logs geforwarded und habe in der Event Konsole ein Rulepack erstellt. Wie würde denn für das Windows Security Log die Regex aussehen, wenn ich alle Crits abfangen will aber die restlichen “unnötigen” Events nicht?
Ich nehme an, dass deswegen das Log volläuft.