我在域控制器上启用了高级审核策略configuration。 服务器操作系统 – Window Server 2008 R2 Standard。 客户端操作系统 – Windows XP 每当域用户input错误的帐户密码我收到以下失败审计。 在这个日志中,显示的客户地址是 客户地址::: ffff:10.1.1.12(请参阅附带的打印屏幕) 但在实际中,客户地址是不同的。 为什么它不显示实际的客户端地址? 请让我知道客户地址在这里意味着什么。 根据我的理解,它必须是域用户试图login的客户端工作站的地址,但是由于input了用户名的错误密码而失败了。 请解释?
我在事件查看器中启用了对象级访问,但是当用户创build文件或文件夹时,我无法find确切的date和时间。 你知道吗,如何查看事件查看器中的时间和date? 以下是附带的打印屏幕。
我如何简单地从事件查看器导出或备份自定义视图? 我不想导出常规的事件日志,如:系统,应用程序,安全等,但我想自动导出我自己的整个自定义视图日志与事件ID的。
自从上周以来,我的networking中的机器无法正确logging来自MsiInstaller的事件。 例如: 源(MsiInstaller)中的事件ID(11724)的说明找不到。 本地计算机可能没有必要的registry信息或消息DLL文件来显示来自远程计算机的消息。 您可能能够使用/ AUXSOURCE =标志来检索此说明; 详细信息请参阅帮助和支持。 以下信息是事件的一部分:产品:Java自动更新程序 – 删除已成功完成。,(NULL),(NULL),(NULL),(NULL),…。 有此问题的机器具有以下registry项“HKLM \ SYSTEM \ ControlSet001 \ Services \ Eventlog \ Application \ MsiInstaller”设置为: 的 “%SystemRoot%\ SYSTEM32 \ msimsg.dll” 在不显示此行为的机器上,值为: “C:\ WINDOWS \ SYSTEM32 \ MSI.DLL” 手动修复密钥的值解决了MsiInstaller的问题和消息已成功logging所有细节。 不过,我想了解可能造成这种情况的原因。 任何提示?
我已经使用事件查看器创build一个自定义视图的所有ASP.net错误通过使用GUI如下 如何为单个网站创build自定义视图?
在Windows 2008 R2服务器上的“应用程序和服务日志”>“目录服务”下的“事件查看器”中 我每小时收到两次以下错误: Invocation ID of source directory server: 227ee97b-3a70-49b9-acdc-afb2ecb6a872 Name of source directory server: c92d88b9-2d7d-555b-9cf5-973e98c76226._msdcs.subdomain.domain.com Tombstone lifetime (days): 180 The replication operation has failed. User Action: The action plan to recover from this error can be found at http://support.microsoft.com/?id=314282. If both the source and destination DCs are Windows Server 2003 DCs, then install […]
我正在尝试启动由特定事件触发的任务。 我使用的filter的XMLconfiguration如下: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(Level=4 or Level=0) and (EventID=5145)]]and *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]]and *[EventData[Data[@Name='ShareName'] and (Data='\\*\Justin-Archiv')]] </Select> </Query> </QueryList> 与事件查看器一起使用时,configuration工作正常。 但是,如果符合条件的新事件发生,则该任务不会被触发。 删除后 *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]] 部分,事件被触发。 所以这个部分一定有问题。 非常感谢提前!
是否有特定的工具(如rrdtool)或PowerShell命令来生成Windows事件日志的graphics? 首先,我想要将Windows Server 2008 R2事件日志“PrintService”可视化。 有哪些用户在哪个打印机上打印的时间被写入。 可视化应该是这样的:在哪一天打印多less(在特定的)打印机等等。 可以导出内容。 EDIT1 我现在做了一个XML导出。 现在我尝试使用PowerShell来统计相同用户名的频率 写入 <Param3>username</Param3>) 出现。 输出应该是这样的 user_a – 5 user_b – 7
我已经在我们的域中设置了一个服务器,作为来自客户端计算机的AppLocker事件的事件收集器。 然后,我(通过GPO)configuration了两个客户端,将他们的事件转发给事件收集器。 这工作得很好,我从事件收集器上的两个客户端接收事件。 但是,来自其中一个客户端的事件不会在事件详细信息中显示文件名。 相反,它包含这样的东西: %11被允许运行。 在客户端本地查看事件日志时,事件详细信息包含允许或阻止的文件的path和文件名。 为什么这些信息没有与事件一起转发? (编辑:事实certificate,如果我切换到“详细信息”选项卡,其他信息中的FilePath在友好视图和XML视图中都可以正常显示,但我希望它也显示在“常规”选项卡上。) 另外,来自其他客户端的事件也不能正确显示。 这些事件不是获取实际的事件细节,而是包含以下内容: 无法find源Microsoft-Windows-AppLocker的事件ID 8020的说明。 引发此事件的组件未在本地计算机上安装,或者安装已损坏。 您可以在本地计算机上安装或修复组件。 如果事件发生在另一台计算机上,显示信息必须与事件一起保存。 活动中包含以下信息: 所需消息的语言环境特定资源不存在 这些事件也在计算机上本地正确显示。 在这里,我也可以切换到事件收集器上的“详细信息”选项卡,并查看事件中包含的所有信息,但不能查看“常规”选项卡上的信息。 我发现了一个可能的解决方法,即运行wecutil ss <subscriptionName> /cf:Events来更改订阅的ContentFormat,但是这并没有解决问题。 更新:我已经添加了第三台机器到安装程序,并显示与第一个客户端相同,如%11 was allowed to run 。 然后,我尝试将订阅的ContentFormat从RenderedText(默认)更改为Events,现在来自第二个客户端的事件与其他两个客户端的事件显示相同,例如: %11被允许运行。 但遗憾的是,常规选项卡上仍然没有显示文件path。 更新:我只是尝试configuration我自己的计算机(这是受制于AppLocker政策)作为事件收集器,但在这里我也有事件显示为“%11被允许运行”的问题。 事件收集器正在运行Windows Server 2012 R2,并且客户端正在运行Windows 10 Enterprise。 有什么build议么?
我的networking的两个域控制器的安全日志被安全事件id 4624和4634以及更小程度的4672洪泛。从互联网上读取这样的行为是相当普遍的,并不一定意味着潜在的问题/问题。 然而,这样的洪水破坏了一个日志的用处:太多的信息,没有信息。 我想对Windows Server说:不要将事件ID 4624和4634写入安全日志,而是将其写入新的日志文件,仅用于这些事件。 这样我就不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。 这可能吗? 这是可取的吗? 谢谢, 迭戈