我有一个evt格式的Windows 2003安全日志文件。 我需要通过EventID 540筛选日志,并从中生成唯一的用户列表。 我正在使用Windows 7机器来做到这一点。 任何想法的最佳途径? 编辑 这个剧本为我做了 $ErrorActionPreference= 'silentlycontinue' $users = @() Get-WinEvent -FilterHashtable @{Path="C:\TEMP\LogonLogoffEvents.evtx";ProviderName="security";id=540} | foreach { $sid = $_.userid; if($sid -eq $null) { return; } $objSID = New-Object System.Security.Principal.SecurityIdentifier($sid); $objUser = $objSID.Translate([System.Security.Principal.NTAccount]); if ($users -NotContains $objUser.Value) { $users += $objUser.Value $objUser.Value >> "C:\temp\users.txt" } }
我们昨晚在我们的系统中移动了一个文件夹,在整个networking中造成连锁反应,改变文件path,基本搞乱了我们的文档。 我们正在对服务器日志进行审计,以查找移动文件的时间和用户。 移动文件的事件ID是什么? 或者,通过数以千计的事件日志查找事件,最简单的方法是什么。 文件和文件夹审计已到位。
在服务器2008 R2成员服务器上,我安排了chkdsk来检查驱动器C:和N: :。 在事件查看器中只能看到N:驱动器的结果。 在之前的Windows服务器中,驱动器C: chkdsk结果出现在事件查看器中。 这仍然是这种情况,还是有另一个原因,为什么我没有在事件查看器中看到chkdsk的结果? 没有启动日志可见。
使用PowerShell的Enter-PSSession(即使在本地计算机上)也会随机失败,并显示以下消息。 运行所有更新的Windows 2012标准。 错误消息需要一段时间才能显示。 命令: Enter-PSSession -ComputerName MYHOSTNAME 信息: Enter-PSSession : Connecting to remote server MYHOSTNAME failed with the following error message : The WSMan service could not launch a host process to process the given request. Make sure the WSMan provider host server and proxy are properly registered. For more information, see the about_Remote_Troubleshooting […]
我试图find崩溃后得到的Windows事件日志中的一些错误的原因。 最后有两个代码。 例: NET Runtime version 2.0.50727.1433 – Fatal Execution Engine Error (7A097772) (80131506) 这些是什么? 崩溃有一个事件ID(1023),但最后一个号码也似乎是某种forms的ID。 第一个虽然似乎是相当独特的,因为我基本上找不到这个数字上的任何东西。
有一个Windows SBS 2003作为DC的域。 定期,我面临的Mrxsmb(事件8003)错误,导致networking。 我们必须在networking上的其他Windows SBS 2003服务器,其中之一是造成这种情况。 我已禁用这两个计算机浏览器服务。 现在,该域中的Windows XP和Windows 7客户端在不同时间在DC日志中显示该错误。 每一次 ,它都会导致我的networking。 有什么我在这里错过吗? 作为一个临时的解决scheme,我手动“禁用”( 因为当它停止,启动选项是“手动”,它仍然给我这个错误 )在所有客户端PC中的计算机浏览器服务 – 是正确的解决scheme还是还有其他更好的解决scheme吗 如此处所述,在检查时,networking在任何时间点都没有断开连接,但是在某些情况下,PC在某些时间点重新启动。 如果你可以build议某种永久的解决scheme,将不胜感激… 提前致谢
根据这里的文件,星号通配符是支持的,因此它应该在例如。 * [EventData [Data [@Name ='TargetUserName'] ='User1 *']] 但我不能得到任何通配符filter工作 – 有人能够做到这一点?
基本运行是我不知道我在做什么,我删除了一个CA我站了起来,但我无法正常工作。 我知道愚蠢。 但是现在说的不多,我现在可以做。 我经历了尝试从AD和DC中删除它的所有部分,但“DCOM无法使用任何已configuration的协议与计算机SUBCA.xxxxxxx.org通信”。 每小时发生一次错误。 有人曾经说过把它从DNS中拿出来,所以我进去把它从那里移走。 他们继续前进。 我是新鲜的想法。 这是一个2008 R2服务器虚拟环境。 这就是为什么它很容易删除和混乱的一切。 除了混淆我的事件日志,似乎没有任何问题。 如果任何人有任何build议,或者你有想法让我知道谢谢!
我想使用PowerShell来提醒我,当我的新的Win2k12标准服务器上的事件查看器发生错误时,我想我可以让脚本每10分钟执行一次,但不想在服务器上施加任何压力,只为事件日志检查,这里是我想要使用的powershell脚本: $SystemErrors = Get-EventLog System | Where-Object { $_.EntryType -eq "Error" } If ($SystemErrors.Length -gt 0) { Send-MailMessage -To "[email protected]" -From $env:COMPUTERNAME + @company.co.nz" -Subject $env:COMPUTERNAME + " System Errors" -SmtpServer "smtp.company.co.nz" -Priority High } 什么是安全的频率我可以运行这个脚本,而不会伤害我的服务器? 硬件: Intel Xeon E5410 @ 2.33GHz x2 32GB内存 3x 7200RPM S-ATA 1TB(2x RAID1) 编辑: 在Mathias R. Jessen的回答的帮助下,我最终用一个脚本附加了一个事件到应用程序和系统日志中: Param( [string]$LogName […]
域控制器操作系统 – Window Server 2008 R2 请参阅附加的第一个PrintScreen(Powershell.png)。 在Powershell命令的帮助下,我正在尝试检查DC的事件日志。 请注意红色矩形彩色框。 失败原因:%% 2313“ 但同样的日志,如果我从事件查看器(第二个打印屏幕附加 – EventViewer.png)检查相同的事件ID,在这里它清楚地显示“失败的原因:未知的用户名或密码错误” 为什么与Powershell相同的事件ID显示失败的原因与一些语法和Windows的事件查看器日志,它显示正确?