我有两台Win2012R2服务器。 一个是域控制器,另一个是SQL Server。 我在DC上创build了一个订阅,从第二个服务器收集事件1149(来源:TerminalServices-RemoteConnectionManager)。 事件被收集,但不能正确显示: 远程桌面服务:用户authentication成功: 用户:%1 网域:%2 源networking地址:%3 但在XML信息中,一切都是正确的: <UserData> <EventXML xmlns="Event_NS"> <Param1>administrator</Param1> <Param2>MYDOMAIN</Param2> <Param3>192.168.0.2</Param3> </EventXML> </UserData> 其他人也有同样的问题在这里: Windows转发事件丢失用户数据和说明,但解决scheme没有为我工作。 我尝试过了 : 设置格式为事件和RenderetText,这是相同的。 在EN-us上手动设置区域设置 将语言环境设置为“FR-fr”,因为我的键盘是法语的(操作系统是英文版):我得到着名的错误“无法find源的事件ID描述” 重新启动 将networking服务添加到EvenLog读卡器内置组中 没有什么变化。 有人有一个想法吗?
我正在尝试创build一个事件日志档案,但它似乎并没有工作。 服务器2k12 R2环境。 以下是我启用的GPO: 我重新启动了服务器,并确保使用“gpresult / r / scope computer”进行应用。 我也使用gpedit.msc在本地进行了检查,并成功传播了相同的设置。 不幸的是,除了“审核日志已满”popup窗口日志不断被覆盖。 我不妨提一下,所有的日志都是100MB的大小。 编辑:我启动了进程监视器,发现这个: 这对我来说太奇怪了。 如何才能写入Security.evtx,但不能创build一个新的文件? 如果系统对该目录有完整的控制,可能会丢失什么?
我们在客户的网站上有几个“RDX”USB盒式磁带机 。 通常他们不logging任何事件到Windows事件日志。 安装可选的“RDX工具”后,此更改。 安装完成后,您将看到名为“RDXmon”的源在“应用程序”日志中的条目。 (现在有一个名为RDXmon的服务,运行C:\Program Files (x86)\RDX\Service\RDXmon.exe 。) 而这个来源似乎没有正确安装与Windows。 string没有正确parsing。 相反,你会得到这样的消息,这些消息是以Windows锅炉板为前缀的: 来自源RDXmon的事件ID 0的说明找不到。 引发此事件的组件未在本地计算机上安装,或者安装已损坏。 您可以在本地计算机上安装或修复组件。 如果事件发生在另一台计算机上,显示信息必须与事件一起保存。 活动中包含以下信息: RDXmon: MediaInsereted()IOCTL失败。 设备:1 – (错误代码:2)系统找不到指定的文件。 (我想MediaInsereted是“MediaInserted”的一个奇怪的错字。) 问:有没有人设法解决这个问题? 任何人都可以阐明这一点? 这是不正确的安装,或RDXmon只是一个debugging工具,他们根本就没有打扰,正确地将其与Windows集成? 或者,换句话说:有没有人设法让RDXmon输出正确的消息? 我无法通过谷歌find太多的东西,似乎没有官方的腾博论坛。 而且似乎没有“RDXmon”的文档。 更多信息:供应商没有注册 我认为提供者/出版者/来源没有注册。 (我不清楚确切的术语。) 至lessWEvtUtil空了: PS C:\> wevtutil enum-publishers | findstr /I rdx PS C:\> (我假设WEvtUtil.exe的“发布者”与PowerShell的Get-WinEvent调用“提供者”的内容相同,而eventvwr.msc调用的是“源代码”,请纠正我的错误。 虽然它没有注册,但它仍然logging到“应用程序”日志中: PS C:\> Get-WinEvent -Logname Application -MaxEvents 1111 2>$null | […]
我有以下事件日志: 此事件日志只出现在自定义视图 – >服务器angular色 – >远程桌面服务中 。 我想要做的就是把它添加到Windows日志 – >安全,因为我已经有一个代理爬行这个文件夹。 这甚至可能吗?
我们有一个应用程序使用ETWTrackingParticipant为ETW(窗口的事件跟踪) ETWTrackingParticipant跟踪输出。 有谁知道ETW在Windows Server 2003中是否受支持,或者只在Windows Server 2008中存在? 如果是这样 – 我们如何获得与Windows Server 2008相同的ETW视图( 事件查看器 – >应用程序和服务日志 – > Microsoft-> Windows->应用程序服务器应用程序 – >分析 )?
我的收件箱现在充满了警报,因为有人添加了一个导致4624的每隔几秒被触发的份额。 我以为我在事件查看器中设置了警报。 但我不知道在哪里或如何删除它。
在Windows 7中的事件查看器中,有一个由我的Windows服务应用程序设置的“源”列。 值设置为TOS ,通常当日志条目与我的应用程序关联时,它具有TOS作为Source列值。 但是,当服务无法启动(或发生其他types的错误)时,我得到以下值之一的来源: 应用程序错误 服务控制pipe理器 .NET运行时 我不明白为什么价值不总是TOS另外,是否有可能强迫它每次都使用TOS?
我已经启用了文件审计,我希望能够筛选给定的用户操作。 我已经build立了一个非常基本的XMLfilter,但我似乎无法得到它的工作。 我已经有了一些除AccessList以外的事件数据类别,如HandleId和SubjectUserName。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] </Select> </Query> </QueryList> 我试图find以下内容: <Event> <EventData> <Data Name="AccessList">%%1537</Data> </EventData> </Event> 任何人可以提供一些指导?
我试图debugging一个奇怪的渲染/互动问题,在IE浏览器中的Web应用程序,并认为我会偷看在Windows(XP)的事件查看器,看看是否有什么奇怪的事情发生在同一时间。 我看到类, 系统 , 安全 , 应用程序等,但我也看到一个“ Internet Explorer ”,但没有事件,如果我查看属性,我不能设置日志文件名称…假设我不能logging事件) 有没有在IE浏览器的某处魔术设置,以使其工作? 或者是这个类别是由其他应用程序自动生成的,只是没有正确连接? PS奇怪的问题(好奇)是一个非常随机的Web应用程序中的一个popup窗口,只有一个客户端网站,经过长时间使用,突然渲染/涂料完全黑。 HTML源代码仍然存在,未设置为<body bgcolor =“#000000; …>,但与popup窗口的任何交互都失败,IE需要完全重新启动才能修复。
比方说,我想从视图中删除一个单一的事件,所以我可以查看其余的。 我如何做到这一点? 这是在Server 2003 R2框中。