我如何知道是谁在以下事件日志条目中进行了更改? 什么/谁是来电者的用户名? XXXXTE-MAIL(不带$)是域控制器的计算机名称。 此条目来自此域控制器的事件日志。
如何将事件查看器从应用程序和安全性部分的错误导出到Excel,它有任何方式导出在事件查看器或我必须使用Windows PowerShell的?
我在SuperUser中问这个问题没有太多的运气,所以我在这里贴出来看是否有人可以帮忙。 我们有一个中央系统日志服务器,我们希望它从Windows主机捕获事件日志事件。 我们特别感兴趣的是logging服务启动/停止事件。 我们在这些Windows主机上安装了“Eventlog to Syslog”,并且与XP主机一起运行良好(事件来自Service Control Manager)。 但是,我们遇到了Win2k主机的问题。 出于某种原因,服务启动/停止事件不logging在Win2k主机的事件日志中。 我从另一家公司得到了另一个朋友在Win2k主机上testing,他确实得到了启动/停止事件。 我已经search了我需要启用的本地审计策略,但没有太多的运气。 有人有主意吗? 提前致谢。
我想筛选事件日志,以显示从其他机器启动的SQLlogin,我有本地机器的数千login和其他机器的几个login。 我想监视来自其他机器的连接。 这两个事件只有在文本中有所不同。 本地连接: 用户tel_writerlogin成功。 使用SQL Server身份validation进行连接。 [客户端:<本地计算机>] 其他机器连接: 用户'sa'login成功。 使用SQL Server身份validation进行连接。 [客户端:242.xxx.xxx.xxx] 有没有什么办法来淘汰这个本地机器连接?
我写的一个应用程序是抛出错误(在我的应用程序日志): SocialNetworking.Facebook b0ceb124-b183-4b66-aa10-39fd9e142bn4 Could not load file or assembly 'Microsoft.Contracts, Version=1.0.0.0, Culture=neutral, PublicKeyToken=736440c9b414ea16' or one of its dependencies. The system cannot find the file specified. 我已经在GAC注册了程序集,所以我不确定它在哪里寻找这个。 有什么方法可以找出它的外观或者可以得到堆栈跟踪的错误?
我们有一个Windows Server服务器在64位架构上运行SBS 2008。 当我运行我的每日SBS控制台报告时,我被告知在事件ID 56和源“TermDD”的服务器上存在严重错误。 这是相当规则的行为,我有大量的网站,我通常会排除错误的错误,但奇怪的是没有错误出现在Windows事件查看器,我可以find没有帮助,为什么这可能是…有没有人经验这之前/知道可能是什么原因? 非常感谢
所以我有一个应用程序事件日志…我们称之为“CustomApplicationLog” 我也有一个很棒的应用程序…让我们称之为“MyAwesomeApplication” 假设这个应用程序曾经抛出一个错误… 我怎样才能使用XML查询编辑器search任意string事件日志消息? 下面是我select大部分我想要的东西后为我生成的查询。 我找不到解决这个问题的任何文档。 <QueryList> <Query Id="0" Path="CustomApplicationLog"> <Select Path="CustomApplicationLog">*[System[Provider[@Name='MyAwesomeApplication'] and (Level=2)]]</Select> </Query> </QueryList>
这是我在ServerFault上的第一篇文章,但我喜欢StackOverflow。 我是一个编码人员,因此我比在registry中更舒适,所以我来这里寻求帮助。 问题:我有一个logging器链 CustomLogger(在日志消息中添加一个自定义的EventId,在NTEventLogAppender中parsing出来) – > slf4j – > log4j – > NTEventLogAppender 日志最终被NTEventLogAppender使用,我修改了它来parsingCustomLogger中原始消息的附加EventID,并且它工作正常。 但是,如果使用自定义EventID生成邮件,则会显示: 源(订购站docker服务器诊断)中的事件ID(等等)的说明找不到。 本地计算机可能没有必要的registry信息或消息DLL文件来显示来自远程计算机的消息。 您可能能够使用/ AUXSOURCE =标志来检索此说明; 详细信息请参阅帮助和支持。 以下信息是事件的一部分:111219 [main] INFO 我需要在我所有的自定义日志消息的开头摆脱这个jar头消息。 我编辑了EventLogCategories.mc文件来反映所有新代码,如下所示: ; example of new logging code MessageId=0x45 Language=English No logging code was given, using default logging code %1 . 并运行生成NTEventLogAppender.dll文件的build.bat文件,然后将其放置在相应的目录中并在其上运行regsvr32。 我也从Apache看这个FAQ, http://logging.apache.org/log4j/1.2/faq.html#a2.10 ,并将NTEventLogAppender.dll复制到%SYSTEMROOT%\ SYSTEM32目录无济于事。 此外,我看到了这个, https ://issues.apache.org/bugzilla/show_bug.cgi?id=37866,然后将Microsoft消息编译器(mc.exe)和MinGW添加到系统Path环境variables,重新编译,复制注册……都无济于事。 最后,我试图发布到Apache Logging-log4j用户论坛,(链接编辑,因为我是一个新用户,并在一篇文章中的两个以上的链接是禁止的),但[email protected]地址只是弹回给我。 […]
我们有一台Windows 2008服务器(而不是R2)作为DFS复制组中的主要文件源,而其他服务器正好是Windows Storage Server 2008.所有这一切在双向复制方面都很好。 我们无法解释的是随机时间,主要位置上的复制文件夹是如何隐藏起来的,系统是如何在其属性上进行的。 用户打电话问他们的文件夹在哪里。 我已经设置了一个计划任务,每5分钟运行一次,以便将文件夹属性logging到一个文件中,这样我就可以确定属性翻转的时间窗口。 然后,我在事件查看器中创build了自定义filter,以显示此时间范围内的所有事件(+/- 10分钟),并在主文件服务器,辅助文件服务器和托pipe命名空间的域控制器上进行检查。 我找不到一个与众不同的东西来解释发生的事情。 我发现在主文件服务器和2个域控制器上发生的最接近的事件是一个信息性的组策略事件(ID 5327),表示“在其中一个连接上的估计networking带宽:0 kbps”。 但是我不确定这是否相关,即使在主文件服务器上有一两秒钟之后还有另一个ID 5327,告诉连接上的带宽恢复正常。 有任何想法吗??
我有一些小组中的用户来审查审计。 他们在我创build的小组中。 这个小组应该有权限查看安全审计。 他们可以看到他们,但说明丢失。 如果我以pipe理员身份login,看起来没问题。 所以这是一些types的权限问题。 我已经检查了HKLM\System\CurrentControlSet\Services\Eventlog\Security permissions ,它具有pipe理员的完全控制和SYSTEM的完全控制。 本地安全设置已设置,所以他们也可以pipe理和查看安全审核。 这些是独立的机器,还有像这样的其他机器可以正常工作。 唯一的区别是MSSQL安装在那些不工作的。 有任何想法吗? 我错过了什么吗?