在我们的组织中,我们拥有一个控件,可以将使用高权限活动目录帐户的用户注册到RDP到我们networking上的任何服务器或工作站。 我最近启用了这个控件,该控件正在查看与Windowsterminal服务相关的日志,并在我们的域上使用特定的filter来访问高权限访 有几个有用的日志表明用户使用这些帐户到RDP,但也有几个日志表示RDP活动,但“源networking地址”字段是“本地”。 以下是一个示例日志(带有敏感信息): Microsoft-Windows-TerminalServices-LocalSessionManager / Operational,01/08/2014,13:31:45 PM,Microsoft-Windows- TerminalServices-LocalSessionManager,21,信息,N / A,无,N / A,comptername.domain.com ,IP:1.1.1.1,21,远程桌面服务:会话login成功:用户:域\ highaccessaccount会话ID:1 源networking地址:LOCAL 我的问题是,有没有人看到类似这样的日志,有没有人有一个想法如何用户可以生成这个日志与目标是本地机器?
在研究这个问题时,我已经看了下面的文档,没有一篇描述事件收集器服务的选项或灵活性。 微软在Technet上的事件收集器服务 (程序上,我只是在寻找它的工作原理) Microsoft / MSDN 源启动订阅 (再次不是如何工作的概述) 由第三方configuration指南 (省略非域计算机) 我试图解决的情况是 许多非域名计算机需要将事件发送到中央服务器进行分析和报告 首选的传输是HTTP或HTTPS 在使用用户名/密码或证书发送之前,服务需要进行身份validation 服务器必须允许多达1,000个用户名或证书来控制谁可以转发事件。 服务器必须能够确定谁发送了事件。 用户不能为共同位于同一聚合服务器上的另一个用户“伪造”事件 我想我可以使用fiddler来弄清楚服务器是如何工作的,并且编写我自己的HTTP响应者来处理这些响应(并且用我的应用程序代替WinRM来接收数据),但是处理非域连接的机器没有logging清楚。 任何人都可以帮助我理解非域scheme是如何工作的,证书应该是什么样的(EKU等),理想情况下使用我自己的代码来取代默认的WinRM
我想从所有桌面客户端将Windows事件日志转发到rsyslog的Linux框。 Rsyslog提供了一个Windows代理来做到这一点,但是每个许可40欧元,并且当你有x个成本加起来的机器时。 我想知道是否有一个FOSS的替代品我试图search谷歌,但没有设法find任何东西。 希望有人可能已经面临同样的问题,并正在使用他们可以推荐的替代scheme。
我试图用我的Windows日志来testing一些Splunk-y的东西。 但是我想要确定正在进入的日志,所以我可以确定我正在保存并丢弃日志。 我真正想要的是类似于Windows(7,如果可能的话)在UNIX / Linux上相当于“logging器”。 我发现EventCreate,但据我所知,我需要更改一些我的Splunkconfiguration使用该数据。 这样的事情存在吗? 编辑 我应该包括我的希望是写入系统和/或安全日志。 我意识到能够做到这一点存在一些风险,但我希望这是可能的。
在我们的环境中,我们希望强制所有编写脚本的系统工程师将日志logging写入EventLog。 要跟踪脚本的所有日志logging,我们希望将其写入应用程序日志中的特定源代码。 由于您需要服务器pipe理员权限才能在Eventlog中创build新源,我希望能够将自定义EventLog源推送到我们环境中的所有服务器。 这种方式脚本可以login到正确的EventLog,并且不需要提升的权限来创buildEventLog源,如果它不存在。 我环顾了一下,但似乎无法find一种方法来在使用GPO的服务器上创build新的EventLog源。 有什么build议么? 亲切的问候Tomas
以下是我的nxlogconfiguration define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension json> Module xm_json </Extension> <Input internal> Module im_internal </Input> <Input eventlog> Module im_msvistalog Query <QueryList>\ <Query Id="0">\ <Select Path="Security">*</Select>\ </Query>\ </QueryList> </Input> <Output out> Module om_tcp Host localhost Port 3515 Exec $EventReceivedTime = integer($EventReceivedTime) / 1000000; \ to_json(); […]
作为我们常规预防性维护的一部分,我们检查networking工作站上的事件日志,以查找严重问题(例如diskperf错误)。 一些工作站通常有一个严重的错误,其中的解释是“故障桶”后面跟着一些数字。 谁能解释这是什么意思? 这是否真的指出我们应该关心的一些关键问题? 我们可以做些什么来让它不再出现?
我有一个托pipe在Rackspace Cloud上的专用服务器,今天早上,当我偶然地检查安全事件日志时,发现了一系列令人不安的Logon事件。 它看起来随机IP成功“login”到我的服务器莫名其妙。 这怎么可能? 我有一个非常强大的pipe理员密码。 我在这里反应过度,还是看起来有人在某种程度上访问我的服务器? 从不同的IP地址在一个小时的时间范围内,大约有50个。 帐户已成功login。 学科: 安全ID:NULL SID 用户名: – 帐户域名: – loginID:0x0 logintypes:3 新login: 安全ID:ANONYMOUSlogin 帐户名称:ANONYMOUSlogin 帐户域名:NT AUTHORITY loginID:0x20a394 loginGUID:{00000000-0000-0000-0000-000000000000} 处理信息: 进程ID:0x0 进程名称: – networking信息: 工作站名称:ATBDMAIN2 源networking地址:76.164.41.214 源端口:36183 详细的authentication信息: login过程:NtLmSsp validation包:NTLM 转换服务: – 包名称(仅限NTLM):NTLM V1 钥匙长度:128 那么是否有人正在进行端口扫描或寻找漏洞,或者为什么世界各地的某些随机IP想知道我的服务器?
我有一个运行自定义cmdlet的PowerShell脚本。 它由Task Scheduler运行,我想logging它做什么。 这是我目前的粗略版本: Add-PsSnapIn MyCmdlets Write-EventLog -LogName "Windows Powershell" -Source "Powershell" -Message "Starting Update-ClubNumbers" -EventId 0 Get-ClubMembers -HasTemporaryNumber -show all | Update-ClubNumbers -Verbose Write-EventLog -LogName "Windows Powershell" -Source "Powershell" -Message "Finished Update-ClubNumbers" -EventId 0 我想要做的是logging我的自定义cmdlet的输出。 理想情况下,我想创build不同types的事件日志条目,根据是警告还是详细消息。 更新:我不想loggingcommandlet的返回值。 Update-ClubMembers cmdlet不返回对象。 我想logging任何由WriteVerbose写的详细消息,我想logging由ThrowTerminatingError创build的错误。
有没有办法在局域网中search特定事件的所有事件日志?