Universal Forwarder という td-agent っぽいものを Windows に突っ込んで Splunk Enterprise に転送する。
検索するとだいたい出てくるので、その通りやれば OK。注意点としてはインストール時に Custom で進めて、転送するログを明示的に指定すること。デフォルトだと全部転送しないようになっているのか、Splunk にログが流れなかった。設定ファイルを編集すればいいのだろうけど、どこを編集すればいいのか調べるのも、ちょっとだるい感じだったのと、Windows で管理者権限が必要なファイルを操作するのが面倒くさいので、最初からインストールしたほうが早い。

設定してしばらくすると sourcetype=wineventlog で出てくる。こういうイベントログを Universal Forwarder 使わずに Microsoft 標準のサービスで収集・任意のストレージなりに転送したいんだが、どうやるのだ…というのは引き続き。