上周我们的应用程序日志似乎是腐败的。 事件查看器说,日志是20MB,并有18,446,744,073,709,550,735(每个0.000000000008674位)logging(这不可能是真实的),并且mmc会崩溃,每当我们试图查看日志。 我们清除了应用程序日志,它似乎是日志logging数据,因为当我们转到Windows日志部分的mmc ,它说应用程序日志有1,985个事件(在3MB),但是当我们实际上点击日志打开它时,它说零事件。 我已经确定所有的过滤都closures了。 有任何想法吗? 编辑:问题似乎不是一个孤立的事件。 请参阅应用程序事件日志不断被损坏 。
我试图通过Windows事件日志search任何事件数据包含stringTCP提供程序,错误:0作为一个较长的错误消息的一部分。 为此,我创build了下面的代码: <QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*[System[Provider[@Name='MyDemo' or @Name='AnotherDemo'] and (Level=2 or Level=3)]][EventData[Data[contains(.,'TCP Provider, error: 0')]]]</Select> </Query> </QueryList> 然而,这被视为一个无效的查询 – 我猜包含语句不被识别(因为它看起来像一个特殊版本的XPath语法正在使用这里。有谁知道我是否尝试可能/如何去做这个? 提前致谢, JB
每当ASP.NET向应用程序日志报告危险的查询string值,并且请求包含特定的字符组合; 事件查看器不会显示错误信息,只显示1或2个特殊字符。 点击“详细信息”选项卡可正确显示所有错误信息。 An example of a ASP.NET request that causes the behavior: http://localhost/default.aspx?modpagespeed=off%22%3E%3Cstyle%3E%3C/style%3E%3Cdiv%20style=%22display:block%22%3Eplease%20click%20%3Ca%20href=%22http://localhost/?modpagespeed=off 我在这里张贴的行为是从ASP.NET预计的; 但是我应该关心事件查看器常规选项卡上的显示错误? 这在我们的testing环境中是可重现的。 另外,每次打开事件时显示的特殊字符都不相同。
我想创build一个能够在事件查看器中查看安全日志的用户帐户,但不能像高级用户那样以pipe理员身份查看。 当我单击安全日志时,出现此错误: Unable to complete the operation on "Security". A required privilege is not held by the client. 我尝试了一些谷歌search后的方法: 在以下位置添加用户帐户和计算机帐户: Computer Configuration/Windows Settings/Local Policies/User Rights: Manage auditing and security log
我有一个有效的IP的Windows Server 2008 R2,最近我发现在EventViewer中logging了数百个未知和奇怪的RDP成功login。 这里有一些细节: 它们与正常login不相似,即使在我自己login到服务器的时候,它们也偶尔发生。 在“Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational”事件ID 1149中读取“远程桌面服务:用户身份validation成功” 他们似乎使用一些没有域名的随机用户帐户。 我很确定,我没有这些本地用户帐户,并且服务器不属于任何域。 合法的RDPlogin有一个有效的用户帐户和工作组名称,但这些login使用未知的用户名称,没有任何工作组。 支持人员不能帮助我,我很好奇这些奇怪的login是什么。 他们是某种暴力攻击吗? 那么为什么它读取“成功”? 我被黑客攻击了吗? 为什么他们不断地发生? 编辑:我喜欢再次指出,这些帐户不存在在服务器上。 我想知道为什么应该有一个不存在的用户帐户成功的RDPlogin。 (例如,没有用户configuration文件夹)
我已经在Dell PowerEdge T320上运行Windows Server 2012 R2 Standard。 服务器接近一个月用作域控制器。 我注意到这个警告条目显示在应用程序日志中,因为我第一次打开它,甚至在我执行任何更改之前: 从ACPI表安装购买certificate失败。 错误代码:0xC004F057 Log Name: Application Source: Security-SPP Event ID: 1058 Level: Warning User: N/A OpCode: Info Logged: 9/11/2014 8:42AM Task Category: None Keywords: Classic Computer: (my T320's server & domain name is displayed properly) 这些警告一天出现好几次,大概一开始就是第一次启动服务器。 即使修补后,重命名计算机,并提升到域控制器,警告持续等。 在线研究表明这与Windows激活有关。 但是,我已经在服务器上运行了SLMGR(SLMGR / xpr)命令,并且显示Windows Server Standard Edition已经被永久激活(如预期的那样)。看起来我会打电话给戴尔,看看他们能做些什么… 有关如何解决这个问题的任何想法? 谢谢。
目前我使用Microsoftpipe理控制台来检查20个服务器上的事件查看器日志。 每次我点击一台服务器时,我的自定义视图需要2分钟才能加载。 我需要find一个更快的方法来检查所有这20台服务器,因为我每天都这样做。 有一个程序,我可以configuration自动执行此操作。 login到像MMC这样的服务器复制自定义视图,然后将它们全部编译成一个文件,以便日后查看。 即使需要一些时间,我也可以启动程序并在其他时间做其他事情。 谢谢
我们有一个遗留应用程序运行在Azure的Windows Server 2008虚拟机上,每隔一分钟左右就会发送一个垃圾邮件给我们的Windows事件日志。 我没有权限访问正在写入事件日志的代码位,只有dll文件。 我不能重写,因为它是一个巨大的软件,尽我所愿。 所以我的问题是… 有无论如何阻止某些消息的事件源 ? 显然,我不想阻止整个事件源的日志logging,因为它logging有用的东西,当它出现错误,只是这一个特定的消息堵塞了我们的服务器日志,变得非常烦人!
通过PowerShell,我试图创build一个新的事件日志,并写入一个testing条目,但它没有显示事件查看器。 这是我用来创build一个新的事件日志的命令: new-eventlog -logname TestLog -source TestLog 并写一个新的事件: write-eventlog TestLog -source TestLog -eventid 12345 -message "Test message" 运行第一个命令后,事件查看器中没有任何“TestLog”日志,我希望它会显示在“应用程序和服务日志”部分。 运行第二个命令后,得到相同的结果。 但是,我在HKLM \ SYSTEM \ services \ eventlog \ TestLog中看到一个registry项。 只是没有看到事件查看器中的任何东西。 所以,2个问题:我应该什么时候看到事件日志? 它创build后,或者我写了第一个事件后? 而且,更重要的是,为什么我没有看到它呢? 我正在使用Windows Server 2008 R2,并以pipe理员身份login并运行PS。 谢谢。
伙计们, 我正在尝试为Windows事件日志查看器创build自定义XML / Xpath筛选器,以从安全日志的视图中排除无数“SYSTEM”login。 在Technet的XML过滤博客的帮助下,我已经设法达到了这个目标: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID=4624)]] and *[EventData[Data[@Name='TargetUserSid'] and (Data!='S-1-5-18')]] </Select> </Query> </QueryList> 但是,在所有的期望中,我仍然有这样的事件(当然还有其他事件): <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-07-18T15:12:55.797049800Z" /> <EventRecordID>199135861</EventRecordID> <Correlation /> <Execution ProcessID="496" ThreadID="3028" /> <Channel>Security</Channel> <Computer>SBS.domain.local</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> […]