如果计划的任务在Windows Server 2003上失败,是否写入事件日志? 如果是这样,它有什么事件ID,所以我可以设置一个事件触发器来寻找它,并给我发电子邮件?
我正在完成审核,需要了解以下信息。 我有一个活动目录的域控制器,但让我知道如果你需要任何更多的信息。 我想要尽可能简单的东西。我们有大约230个电脑,所以要花很长的时间去一个接一个的。 任何build议欢迎! 谢谢。 Username Computer_Name Last_logon Fred 02457 12/06/2011
我有一台配有SAS 6i / R控制器的Dell T110服务器和两个RAID 1硬盘。偶尔在Windows事件日志中出现警告,并显示以下消息: SAS端口报告:PHY 2上的SAS宽端口2丢失链接:控制器0(SAS 6 / iR适配器) 大约20秒钟后,出现以下信息消息: SAS端口报告:PHY 2上的SAS宽端口2恢复链路:控制器0(SAS 6 / iR适配器) 到目前为止,我还没有注意到在这个服务器上运行的程序有任何中断。 这是控制器或磁盘未来问题的标志吗? 你有没有见过类似的东西? 更新 昨天,在我发布这个问题3天后,RAID 1设置失去了冗余。 在上面提到的一系列消息之后,logging了以下消息: (10-07-2012 21:42:42) – 检测到一个无效的SASconfiguration。 详细信息:SAS拓扑错误:不可寻址的设备:控制器0(SAS 6 / iR适配器) (10-07-2012 21:42:45) – 重置到设备,\ Device \ RaidPort0,发出。 (10-07-2012 21:43:02) – 设备失败:物理磁盘0:2控制器0,连接器0 (10-07-2012 21:52:59) – 驱动程序检测到\ Device \ RaidPort0上的控制器错误。 (10-07-2012 21:53:02) – 冗余丢失:虚拟磁盘1(虚拟磁盘1)控制器0(SAS 6 […]
我想设置下面的审计scheme: 一个大的Active Directory域分散在各个物理站点中,每个站点都包含在它自己的组织单元中。 非pipe理域组的成员必须远程访问一个站点的每台计算机上的事件日志。 除了执行上述任务所必需的权限之外,不得给予该组以外的其他权利。 域版本是2003年,与一些2008R2服务器。 我已经通过代表团的巫师和集体政策看了看,无济于事。 即使通过受限制的组织,授予域或本地pipe理权也不成问题。 全球域名审核不得受到影响,也不能访问以执行此任务。 请, 这样的委派可能吗? 如果是的话,它是如何部署的? 谢谢, 问候
我正在将Windows应用程序事件日志从我的一台服务器导出到XML中进行离线分析。 我能做到这一点…但是当我这样做,我失去了“一般”的描述信息。 这是一个示例事件。 在Windows事件日志查看器中,它显示以下内容作为一般描述: 应用程序“C:\ Program Files(x86)\ Mountain Duck \ Mountain Duck.exe”(pid 2940)无法重新启动 – 应用程序SID与Conductor SID不匹配。 但是,当我输出到XML,这是我得到的: <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System> <Provider Name='Microsoft-Windows-RestartManager' Guid='{0888E5EF-9B98-4695-979D-E92CE4247224}'/> <EventID>10010</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime='2016-04-07T20:00:10.245609600Z'/> <EventRecordID>6889</EventRecordID> <Correlation/> <Execution ProcessID='3868' ThreadID='4016'/> <Channel>Application</Channel> <Computer>WIN-8S18ONBFAEP</Computer> <Security UserID='S-1-5-21-3589301003-3870519012-1491501718-500'/> </System> <UserData> <RmUnsupportedRestartEvent xmlns='http://www.microsoft.com/2005/08/Windows/Reliability/RestartManager/'> <RmSessionId>0</RmSessionId> <Pid>2940</Pid> <FullPath>C:\Program Files (x86)\Mountain Duck\Mountain Duck.exe</FullPath> <DisplayName>Mountain Duck</DisplayName> <AppVersion>0</AppVersion> <AppType>0</AppType> […]
让我先说我非常健忘。 我想login,注销,locking和解锁我的工作站时有一个日志。 (在我的情况下,所以我可以跟踪在PC上花费的小时数) EventViewer是最好的。 安全视图显示login/注销事件。 我只需要知道locking/解锁事件。 或者一个方法来调用这些事件的脚本,所以我可以自己做logging。
我想运行一个batch file,当一些特定的事件发生,我想传递一些null参数到我的任务之一。 问题是我不知道如何。 我尝试了很多组合,但没有成功。 我的XML文件看起来像这样: …….. <ValueQueries> <Valuename="TargetUserName">Event/EventData/Data[@Name='TargetUserName']</Value> <Value name="EventID">Event/System/EventID</Value> </ValueQueries> …… <Exec> <Command>C:\passwd.bat</Command> <Arguments>$(TargetUserName) $(SubjectUserName) $(EventID) </Arguments> </Exec> 现在,我想为我的一个事件传递一个空的参数[$(TargetUserName)和$(EventID)]之间,但我还没有设法做到这一点。 有什么build议么 ?
有没有像我可以参考WEVlogin的详细描述的门户/网站? 例如。 4625帐户login失败,4723尝试更改帐户的密码,4741创build了计算机帐户。 谢谢!
我有一个Windows SBS 2003作为域控制器的域。 在日志中获取主浏览器错误非常常见,MRxSmb事件ID为8003.我怎样才能避免这种情况? 我做错了什么? 我知道如何解决这个问题:停止客户端上的Computer Browser服务,但我不知道如何避免这种情况,因为每当我添加一个新的客户端时,问题就会回来,我忘记停止Computer Browser服务。 错误信息: The master browser has received a server announcement from the computer [computer] that believes that it is the master browser for the domain on transport NetBT_Tcpip_{#######-####-####-#. The master browser is stopping or an election is being forced. 有没有服务器的configuration来避免这个问题?
我正在开发一个应用程序来跟踪Active Directory域中的networking用户login/注销事件; 该应用程序将通过审核域控制器上的安全日志来工作。 审核login事件可能会有些棘手,但可以成功完成。 我的问题:我如何跟踪注销事件? 根据我所做的一些研究,看起来这些事件只能在工作站上本地logging,而不能在DC上logging。 AD用户对象上还存在“lastLogoff”属性,但实际上并没有被任何人使用。 这是一个非常具体的问题:当用户从域工作站注销时,是否logging在DC上 ? 澄清:我没有在其他审计方法中进行讨论,我不能部署login/注销脚本,我无法在任何地方安装任何东西; 我也知道打开和closures的networking会话logging,但这不是我正在寻找。 我需要审核交互式login和注销域名工作站,我可以通过只读域控制器安全日志来做到这一点; 读取每个工作站的本地事件日志是没有问题的。 如果不能这样做,没关系; 但是我需要一个明确的答案。 可以这样做吗? 如果是的话,怎么样?