是否有使用LogParser获取完整的错误信息? 当我运行以下查询: logparser -i:EVT -o:NAT "SELECT TimeGenerated,EventID,Message from System WHERE EventTypeName='Error event'" 我得到以下输出: 2009-09-02 19:35:44 7000 The USB Mass Storage Driver service failed to start due to the following error: %%1058 在EventViewer中完整的“消息”是: 说明:由于以下错误,USB Mass Storage Driver服务无法启动: 该服务无法启动,或者是因为它被禁用,或者是因为它没有启用与之关联的设备。 如何使用logparser获取完整的消息?
我正在使用一个Server08盒(networking版),任务计划员已经运行了几个月没有改变的家务脚本。 在上个星期,调度程序无法启动两次脚本。 TS的用户界面不报告任何错误情况 – 只是不运行脚本。 我想运行一个查询(PowerShell或Log Parser),以便在上周提取任何基于TS的事件,但是我不确定要查找的最佳方法,语法或进程名称。 谢谢
这些值非常紧密地跟踪,但是“按进程取样的CPU”在其数据中似乎不太精细。 我找不到任何文件来区分这两个。
我的一个域控制器是exception大量的Windows审计事件。 我已经能够识别的通用线程是这些日志中的90%共享一个通用的SID。 在给定的集合中可能会生成数千个。 所引用的用户SID是SYSTEM。 在DC1上发生这种情况时,DC2引用为事件用户,反之亦然。 这些设置以5分钟的增量进行。 我已经检查了Windows事件日志计划任务,甚至是从Nagios运行的检查。 没有任何东西指出这种行为的来源。 我设法通过重新启动将这种行为从一个DC转移到另一个DC。 我怎样才能确切地跟踪这个SID运行的是什么,以确定这种行为的原因? 编辑: 我已经尝试运行dcdiag和repadmin来查看这是否与这些框上的DCangular色直接相关。 没有错误报告。 在Windows事件日志中searchGUID和调用ID并没有帮助。
我应该设置哪些事件通知以便: 如果检测到需要修复的东西,应通知他们 特别通知各种磁盘问题和其他硬件问题 不要被垃圾邮件关于不重要的事件 这样的事件的典型列表是什么样的?
我试图build立一个完全无线的办公室,主要是Windows 7和几个Windows 8客户端,我碰到的一个问题是login脚本。 安全人员不想让机器validation,只有用户,所以login之前连接到无线是不可能的。 我发现了一些文章,提到如何通过计划任务来完成此任务,在WLAN-AutoConfig中的事件ID 8003上触发。 但是,这似乎在IP分配之前触发关联,因此对login脚本(在域控制器上)的调用失败。 如果我告诉它在事件发生后10秒延迟,它通常可以正常工作,但有时会因为还没有完成DHCP过程而失败,我需要一个可靠的解决scheme,让用户在login后尽快上class。 我在NetworkProfiles中发现了一个事件4002,它似乎在IP分配后触发,但是在其他时候似乎也会触发,而且我不希望脚本在用户处于某种状态时运行。 有没有人知道IP地址收到后,只能在无线连接上触发一次的事件? 还是有更好的方法呢? 如果您需要更多信息,请告诉我。
我有一组类似的电脑(Win 7),我正在创build一些事件监控规则,但我注意到我收到的东西有些奇怪。 组中的一台机器正在返回非常详细的日志消息: <13>Mar 24 13:42:21 MACHINE123 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.1.4.698761 Source=Microsoft-Windows-Security-Auditing Computer=MACHINE123.SOMECORP.Local User= Domain= EventID=4648 EventIDCode=4648 EventType=8 EventCategory=12544 RecordNumber=487779 TimeGenerated=1427218938 TimeWritten=1427218938 Level=0 Keywords=0 Task=0 Opcode=0 Message=A logon was attempted using explicit credentials. Subject: Security ID: SOMECORP\UserA Account Name: usera Account Domain: SOMECORP Logon ID: 0x1234567 Logon GUID: {AAAAAAAA-FFFF-E6AB-3B67-FE7473A02CE9} Account Whose Credentials Were Used: Account Name: […]
我正在尝试启动由特定事件触发的任务。 我使用的filter的XMLconfiguration如下: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(Level=4 or Level=0) and (EventID=5145)]]and *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]]and *[EventData[Data[@Name='ShareName'] and (Data='\\*\Justin-Archiv')]] </Select> </Query> </QueryList> 与事件查看器一起使用时,configuration工作正常。 但是,如果符合条件的新事件发生,则该任务不会被触发。 删除后 *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]] 部分,事件被触发。 所以这个部分一定有问题。 非常感谢提前!
我有一个作为服务运行的软件(Checkpoint Identity Awareness),它连接到服务器并通过检查其证书来validation其身份(实际上是检查点防火墙),就像任何浏览器一样。 问题是,虽然证书链存在于计算机证书存储区中,并且在服务证书存储区中存在,但该软件始终不识别服务器提供的证书。 这触发了一个警告消息说网关是不可信的。 为了帮助我debugging这个问题, 是否有Windows事件logging访问证书存储(阅读) ,所以我可以看到,如果软件实际上试图检查证书? 我希望它足够清楚
An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: xyzuser Account Domain: srkt Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process […]