我的最终目标是通过Logstash和Winlogbeat将最终用户join域的Windows计算机的相关用户login/注销数据导入ElasticSearch。 Windowslogging了大量我不感兴趣的事件,所以我正在尝试使用Logstashfilter来删除我不关心的事件。 如果我不使用filter,并重新启动我的电脑,然后login,我收到了数百个事件。 有了这个Logstashfilter,当我重新启动计算机时,我不会收到任何事件,但至less应该有几个。 filter { if "winclient" in [tags] { if [event_data][TargetUserSid] = "S-1-5-18" { drop { } } # Event for user SYSTEM if [event_data][TargetUserName] =~ /^.*\$$/ { drop { } } # Event for computer account } } Winlogbeat被configuration为转发多个事件ID: winlogbeat.event_logs: – name: Security event_id: 4608, 4609, 4624, 4634, 4778, 4779, 4800, 4801, […]
我创build了Windows 2003 AD用户,并通过默认域策略上的受限制组将用户部署到本地Backup Operators组。 然后,我重新启动了一个客户端,以确保该用户被添加到组中。 但是,当我尝试以该用户身份运行ntbackup作业时,我得到事件10016: Event Type: Error Event Source: DCOM Event Category: None Event ID: 10016 Date: 8/26/2009 Time: 9:58:28 AM User: myDomain\foobackup Computer: BRANDT-VM Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {D61A27C…..} to the user myDomain\foobackup SID (S-1-5-21…..). This security permission […]
除了最近24小时之外,是否有任何方法可以从Windows事件日志(应用程序,系统和软件)中删除所有条目? 通过batch file等命令行。 在Windows 2008 R2服务器和Windows 7上
您好我做了PowerShell脚本,我正在采取三个论据(在参数块),并将它们作为parameter passing给-FilterXPath。 但是我无法得到结果。 $事件ID = 7036 $服务名称= PW $状态=停止 它给了我正确的结果,如果我把值而不是variables。 请帮忙。 这是非常紧急的。 param($eventID,$ServiceName,$Status) $eventID | add-content "path\hello.txt" $ServiceName | add-content "path\hello.txt" $Status | add-content "path\hello.txt" sleep 5 $ErrorTime=Get-WinEvent -LogName 'System' -FilterXPath 'Event[System[EventID=$(eventID)] and EventData[Data[@Name="param1"]="$(ServiceName)" and Data[@Name="param2"]="$(Status)" ]]' -MaxEvents 1 | select -expand timecreated $ErrorTime | add-content "path\hello.txt"
我的任务是对所有服务器上的所有事件日志进行备份并保留30天。 我写了一个简单的PowerShell来做到这一点。 Get-winevent -Listlog * | select Logname, Logfilepath | ForEach-Object -Process { $name = $_.Logname $path = $_.logfilepath wevtutil.exe EPL $name C:\Users\Owner\Desktop\eventlogs\$name.evtx` } 这只导出NTclassic事件日志的日志文件,对于其他日志我得到一个系统找不到path指定的错误。 我改变了wevtutil并且包含了/ lf参数并且传递了$ pathvariables,它仍然是一样的。 除了传统的日志以外,其他的东西都是我得到的错误。 wevtutil.exe : Failed to export log Microsoft-Windows-WPD-MTPClassDriver/Operational. The system cannot find the path specified. At line:19 char:1 + wevtutil.exe EPL $name C:\Users\Owner\Desktop\eventlogs\$name.evtx + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo […]
我正在尝试运行脚本来收集应用程序,系统和安全日志错误。 我可以远程运行,但我必须通过广域网来做到这一点。 我想在域控制器上本地运行它。 当我在本地运行它时,我得到“请求的registry访问不被允许”。 我已经完成了在线推荐的所有解决方法,包括为registry中的事件日志读取器组授予权限,如下所述: Windows Server 2012 EventViewer Powershell脚本错误所以我很难过,因为它仍然不能正常工作。 我不知道还有什么要尝试的。 我无法find任何其他修补程序在线。 服务器正在运行Windows Server 2012R2。
我是一名程序员而不是系统pipe理员,但由于我们的服务器有很多麻烦,我以为我会积极主动地帮助我们过度劳累(学习)系统pipe理员。 我们有20-25左右的Windows服务器(2003年和2008年)。 他们的范围从SQL服务器,networking服务器,进行批处理,托pipe内部应用程序等。我们使用WhatsUp作为监视器软件来监视内存,处理器活动,网站状态等。 但目前看来,我们根本没有监视事件日志。 我已经看到,在这个事件日志中出现了很多错误和警告,虽然我不明白它们的影响,但所有的错误都可能是不好的。 这种情况下的标准做法是什么? 系统pipe理员是否通常在某个服务窗口中每月/每周/每天手动通过每台服务器上的事件日志? 你有一些聚合软件,所以你所有的服务器手动检查这种方式? 或者一旦某个错误/警告显示在事件日志中,就会引发报警或电子邮件? 我已经看到WhatsUp有一个插件(这花钱),可以做到这一点,我也看到例如OSSEC在这里build议。 这是我应该build议的东西,如果有的话,它有多重要?
我想从我的服务器得到一些日志,但不是一般的日志,如syslog ,给了我很多随机日志。 我想知道如何获取login(包括时间,IP和用户名),用户运行的命令,当前的进程以及类似的东西。
我似乎无法find包含我想在AD中的信息的日志。 我想loginlogin事件,所以我可以看到每个用户login和它来自哪里,类似于用户提供一个错误的密码logging的信息。 最后,我想更改服务帐户的密码,但是想要在更改之前找出它正在使用的位置。
我期望开始一项服务,通过SSL链接(https)从消费者计算机收集Windows事件,但我想确保数据中不包含极其敏感的信息(特别是如果黑客得到信息)