我不小心清除了一个事件日志。 有什么办法可以把它拿回来吗?
我有一个用户帐户不断被locking。 我试图找出是什么原因造成的。 所以我想在事件查看器中启用失败审计。 但是,我不知道如何! 如何启用审核失败,使其显示在Windows日志>安全性的DC事件查看器中? 到目前为止,我所做的步骤是: 在DC中,转到组策略pipe理编辑器>默认域策略(链接)>计算机configuration>策略> Windows设置>安全设置>本地策略>审核策略 将审核帐户login事件,目录服务访问,login事件设置为“失败”。 账户pipe理已经设置为“成功,失败”。 在DC中,启动命令提示符,键入gpupdate。 事件日志仍然只显示审计成功,即使可以检查我的用户帐户是每隔几分钟左右密码计数错误。
我最近问了关于修复腐败的事件日志 ,因为这似乎是一次性的事件。 事件日志从此展示了相同的行为3次。 我们一直在试图find模式,但到目前为止我们什么都没有发现。 服务器运行几个ASP.NET应用程序和三个用.NET编写的计划任务。 事件日志的最后修改date曾经发生过与某个计划任务相同的时间,但是其他时间没有。 任何关于下一步看什么的build议,或者我们可以从腐败的evtx文件中获取任何信息的方法? 服务器正在运行关键的电子商务应用程序,所以我们希望将重新启动次数保持在最低限度。 编辑:我跑了DUMPEL并得到了非常奇怪的结果。 1/9/2012 4:14:05 PM 1 100 1000 Application Error N/A SERVERNAME Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8 Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58 Exception code: 0xc0000374 Fault offset: 0x000ce653 Faulting process id: 0x1070 Faulting application start time: 0x01cccf1386d30991 Faulting application path: […]
我在网上search,但无法find任何信息; 为什么这个错误正在发生? 它已经充斥我的事件查看器:间隔1分钟,这个错误不断popup。 (即频率是1分钟) 我没有安装任何IIS。 该服务器纯粹是一个域控制器,没有添加其他angular色。 请build议我该怎么做? 服务器操作系统 – Window Server 2008 R2标准版。 更多细节: Log Name: System Source: Schannel Date: 6/28/2012 6:06:11 PM Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: QKSRVDC212.Corp.abc.com Description: The following fatal alert was generated: 10. The internal error state is 1203. Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> […]
我被要求了解用户在上个星期何时login系统。 现在,Windows中的审计日志应该包含我需要的所有信息。 我想,如果我search与特定的AD用户和logintypes2(交互式login)的事件ID 4624(login成功),它应该给我的信息,我需要,但对于我的生活我无法弄清楚如何实际过滤事件日志来获取这个信息。 是否可以在事件查看器内,或者你是否需要使用外部工具来parsing它到这个级别? 我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html这似乎是我所需要的一部分。 我修改了一下,只给了我最后7天的时间。 下面是我试过的XML。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> 它只给了我最后7天,但其余的没有工作。 任何人都可以帮助我吗? 编辑 幸运卢克的build议,我一直在进步。 下面是我目前的查询,但我将解释它不返回任何结果。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID='4624')] and System[TimeCreated[timediff(@SystemTime) <= 604800000]] and EventData[Data[@Name='TargetUserName']='john.doe'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> 正如我所提到的,它没有返回任何结果,所以我一直在搞这个。 我可以得到它正确地产生结果,直到我在LogonType行中添加。 之后,它不会返回结果。 任何想法,为什么这可能是? 编辑2 我更新LogonType行到以下内容: […]
我有一组服务器都显示这些症状。 每2-7天连续两次,应用程序事件日志中会显示以下错误: Unable to open the Server service performance object. The first four bytes (DWORD) of the Data section contains the status code. 前四个字节是34 00 00 C0。 事件ID是2004年。 谷歌search这总是导致这个文件在微软网站上: http://technet.microsoft.com/en-us/library/cc727117(WS.10).aspx 不过,它声称要解决这个问题,必须“重新启动服务器服务”。 “服务器”服务一直在运行,而据我所知,这些服务器从来没有用过。 有任何想法吗?
我正在做一些故障查找,我发现应该设置为automatic两个服务已被设置为disabled 。 找出是谁做的最好方法是什么? 它可能是我公司的某个人,也可能是某个客户端的人。 确定用户帐户就足够了。 我已经看过Windows事件查看器,但说实话,我不知道我在找什么,还有很多工作要做。 我什么也没有跳出来,但我怀疑这只是我不知道我在找什么。
我试图在Windows Server 2008 r8上的事件查看器中查看关机事件跟踪器日志,但是我找不到先前重新启动服务器时提供的消息。 在事件查看器中,我可以看到这些日志?