我一直在争取让事件日志订阅在我的服务器2012 R2域控制器上工作。 我已经使用GUI创build了collector-initiated-subscription,并尽可能select默认值。
我select了我想要的事件,并尝试使用机器帐户和几个域pipe理员帐户。
起初,我在运行状态中遇到拒绝访问错误,但经过大量的研究,我将用户帐户和计算机帐户添加到AD Builtin组“事件日志读取器”中。 然后GPUPDATE /强制,重新启动Winrm,现在我得到代码(0x138C)。 研究这个错误几乎指向了WinRM的问题,但是我已经在两台计算机上validation了WINRM的function。
总结:
使用计算机帐户和域pipe理员帐户创build订阅。 已validation的WINRM正在运行向“事件日志读取器”组添加了计算机帐户和用户帐户。 Gpupdate,重新启动服务,我仍然得到:
Error - Last retry time: 3/10/2016 1:17:37 PM. Code (0x138C): <f:ProviderFault provider="Event Forwarding Plugin" path="C:\Windows\system32\wevtfwd.dll" xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault"><t:ProviderError xmlns:t="http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog">Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them.</t:ProviderError></f:ProviderFault> Next retry time: 3/10/2016 1:57:37 PM. 下面是wevtutil从收集器机器中获取源机器的结果。
C:\Windows\system32>wevtutil gl /r:server1 security name: security enabled: true type: Admin owningPublisher: isolation: Custom channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) logging: logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx retention: false autoBackup: false maxSize: 134217728 publishing: fileMax: 1
如您所见,事件日志读取器组(S-1-5-32-573)具有允许读取(A ;; 0x1)安全日志。
防火墙closures。 两台机器都在同一个子网上。
我的谷歌fu一直送我一样的兔子洞。
任何人都可以给我一个新的机会来尝试吗?
解决scheme是为安全日志添加“ channel access permissions ”。
•确保收集器的计算机帐户位于“ Event Log Readers ”内置的本地安全组中。 •在要监视的计算机上configuration事件收集 – 将networking服务帐户的SID (S-1-5-20 )添加到安全事件日志的通道访问权限。 – 从提升的命令提示符:
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)
大约20分钟后,您应该开始在“转发事件”中看到事件
参考: https : //rockyprogress.wordpress.com/2011/12/04/security-event-log-collection-from-a-domain-controller/