我写了一个PowerShell脚本来发送给我一个帐户locking事件的电子邮件,当我发现事件查看器中几乎没有。 我使用了一个testing用户并尝试了五次错误的login,并收到Testo被locking的消息。 然后我检查了两个DC中的事件查看器。 没有! 我发现这个帐户locking不在事件查看器中 ,但是当我之后locking了Testo时,这个function不起作用。 我错过了什么? 更多详细信息:在4740上过滤事件查看器Testo是在testing之前成功login的AD用户GPO:将审核帐户locking设置为审核成功和失败事件DC服务器为2016和2008工作站为Win 7
正如标题所暗示的,我试图关注RDP连接/断开连接到几台机器。 一个运行Windows XP,一个运行Windows 7。 我已经检查了Windows XP机器上的事件日志,在那里没有提到任何事情。 它只是一个Windows 2003服务器function?
我有一个由Web服务器,索引服务器和数据库服务器组成的SharePoint环境。 在查看事件查看器和结果之后,SharePoint应用程序出现不明原因,原因如下: 事件ID:1013计算机:Web服务器说明:服务应用程序池“AppPoolName”的进程超过closures时间限制。 进程ID是“4820”。 事件ID:8645计算机:数据库服务器说明:等待内存资源执行查询时发生超时。 重新运行查询 在Web服务器中find另外2个信息: 事件ID:1117描述:服务应用程序池“AppPoolName”的进程ID为“4820”的工作进程请求重新使用,因为它已达到其专用字节内存限制。 事件ID:1077说明:服务应用程序池“AppPoolName”的进程ID为“7352”的工作进程请求回收,因为它已达到其虚拟内存限制。 我需要帮助来了解有关错误的更多信息,以及如何发生这种情况,例如应用程序池如何closures。 请指教。 先进的谢谢你。 另外:我想知道通常使用什么工具来跟踪内存泄漏的SharePoint。
我在事件查看器中看到以下事件: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" /> <EventID Qualifiers="49152">7024</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2013-02-26T15:38:20.264489900Z" /> <EventRecordID>151689</EventRecordID> <Correlation /> <Execution ProcessID="716" ThreadID="3976" /> <Channel>System</Channel> <Computer>***</Computer> <Security /> </System> <EventData> <Data Name="param1">Our service name</Data> <Data Name="param2">%%1</Data> </EventData> </Event> 请注意param1和param2值 – 第一个是好的,第二个显示%% 1出于某种原因,(也许)这就是为什么事件文本陈述类似的东西(我取代了实际的服务名称): 我们的服务名称服务终止服务特定的错误不正确的function.. %% 1是什么意思,我怎样才能进一步调查这个问题?
在Windows Server 2008 R2中,可以读取事件查看器中的EventID 1020 ,这表示DHCP池在地址上运行不足。 如果我的域中有两台DHCP服务器,它们使用80/20分隔范围,根据此Technet文章 ,将DHCP分配的IP地址池分配到两台服务器中? 在这种情况下,由于范围是分裂的,我怎么知道在两个DHCP服务器之间分配的总DHCP池是否在地址空间开始变低?
我正在运行AppLocker,并希望使用XPath在事件查看器中logging事件中的一些噪音。 具体来说,我想隐藏任何与CMD.exe相关的事件 这是一个我想摆脱的示例条目: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-AppLocker" Guid="{CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}" /> <EventID>8003</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2014-05-29T05:47:09.625405200Z" /> <EventRecordID>257765</EventRecordID> <Correlation /> <Execution ProcessID="1108" ThreadID="2652" /> <Channel>Microsoft-Windows-AppLocker/EXE and DLL</Channel> <Computer>COMPUTERNAME.DOMAIN</Computer> <Security UserID="S-1-5-21-123456789-123456789-123456789-123456" /> </System> <UserData> <RuleAndFileData xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="http://schemas.microsoft.com/schemas/event/Microsoft.Windows/1.0.0.0"> <PolicyName>EXE</PolicyName> <RuleId>{00000000-0000-0000-0000-000000000000}</RuleId> <RuleName>-</RuleName> <RuleSddl>-</RuleSddl> <TargetUser>S-1-5-21-123456789-123456789-123456789-123456</TargetUser> <TargetProcessId>3224</TargetProcessId> <FilePath>%SYSTEM32%\CMD.EXE</FilePath> <FileHash>5F98965FF2650B89586176B38F007CA13A9E525E877DDCCBCDCE0A90408672D5</FileHash> <Fqbn>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\CMD.EXE\6.1.7601.17514</Fqbn> </RuleAndFileData> […]
我在事件查看器中收到以下消息: 进程ID为“10088”的服务应用程序池“mypoolapp”的工作进程已经请求了一个回收,因为工作进程已经达到了允许的处理时间限制。 我从PowerShell获得这个回报: PS C:\> Get-Process -Id 10088 Get-Process : Cannot find a process with the process identifier 10088. At line:1 char:12 + Get-Process <<<< -Id 10088 + CategoryInfo : ObjectNotFound: (10088:Int32) [Get-Process], ProcessCommandException + FullyQualifiedErrorId : NoProcessFoundForGivenId,Microsoft.PowerShell.Commands.GetProcessCommand 如何找出谁是过程/程序与ID 10088?
我正在查看eventviewer日志,并在应用程序日志中看到一堆错误条目。 (Windows Server 2008 R1)。 每4秒钟就有一次写入日志的错误。 我需要找出哪个应用程序导致这些事件,有无论如何find这个? 以下是每个样子: 错误12/2/2010 12:00:09 PM应用程序0无 每个错误的详细信息: Log Name: Application Source: Application Date: 12/2/2010 12:00:09 PM Event ID: 0 Task Category: None Level: Error Keywords: Classic User: N/A Computer: computer.domain Description: The description for Event ID 0 from source Application cannot be found. Either the component that raises this event […]
最近有一位用户问我是否会查看VPN连接,因为他们正在不断的启动。 我去了事件查看器查看昨晚的login/注销事件。 在过去几天的47000安全事件中,我有44000人。 他们几乎都是事件#540“成功networkinglogin”和#576“分配给新login的特权”。 类似于这个问题,但并没有真正的回答: Windows事件日志中的很多login/注销事件 为什么发生这种情况? 这是一个问题吗? 如果是的话,有什么步骤来解决呢? Special privileges assigned to new logon: User Name: gtaylor Domain: Domain Logon ID: (0x0,0x30D14A8) Privileges: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. 和 Successful Network Logon: User Name: gtaylor Domain: Domain Logon ID: (0x0,0x3282453) Logon […]
我们遇到了专用服务器的问题,它经常挂起(有时在电源周期后的几个小时之后)。 我查看了事件查看器,并在SYSTEM下,有数千个已经logging的事件。 最主要的事件是ID:1012 “来自客户端名称a的远程会话超过了允许的最大login失败次数,会话被强制终止。 我不太熟悉所有的术语,但这是否意味着黑客已经尝试login? 这个事件每7秒钟就会popup一个小时,然后有一个停止的时间,但再过几个小时之后又重新开始。 另一个主要事件是ID:100 “由于以下错误,服务器无法loginWindows NT帐户'ADMINISTRATOR':login失败:未知用户名或密码错误” 我看到他们一个接一个地排在后面。 这是另一个黑客问题吗? 这些事件是使用我的服务器ram,然后最终服务器无法运行,使其挂起? 顺便说一句,我们正在运行的Windows 2003。 *请记住我对所有术语都不太熟悉,所以如果你能用外行的话来解释,我会很感激的。