Universal Forwarder（以下、UF）を利用してWindowsイベントログを収集する際、
current_onlyオプションによって以下の挙動になるかと思います。

＜current_only=0の場合>
UFはホスト内に存在するイベントログを全てIndexerへ送信する

＜current_only=1の場合＞
UFが起動している時に発生したイベントログだけをIndexerへ送信する

また、Deplyment Server（以下、DS）を使い、UF初回起動時だけ"current_only=1"に設定し、
その後"current_only=0"へ変更した場合、
UF初回起動時以降に発生した全てのイベントログ（UF停止中のログも含む）を
収集できることを確認しています。

このログ収集の仕方が最も望ましいのですが、一つ問題があります。

以下の設定ファイル（serverclass.conf）で、
UFを導入するWindowsホスト（クライアント）が段階的に増えていく場合を想定しています。

serverclass.conf

[serverClass:WIN-Client]
machineTypesFilter=windows-*

[serverClass:WIN-Client:app:Apps_Name]
stateOnClient=enabled
restartSplunkd=true

この時、はじめの1台の時は上記、「current_onlyを途中で変更する」方法が出来るのですが、
マネージャを停止せず（serverclass.confを編集せず）に2台目を追加しようとした場合、
1台目のクライアントもDSの影響を受け、イベントがロストする可能性があります。

細かい話で申し訳ありませんが、
何か良い方法等ございましたら、ご教授下さい。
宜しくお願い致します。