在防火墙closures的情况下在事件日志中获取Windows Filtering Platform事件是否正常? 我在Windows Server 2008 R2 Service Pack 1上。 例如,我得到了像这样的多个5156事件: The Windows Filtering Platform has permitted a connection. Application Information: Process ID: 6012 Application Name: \device\harddiskvolume1\localdomain\syslog\localdomainsyslogserver.exe Network Information: Direction: Outbound Source Address: 127.0.0.1 Source Port: 52207 Destination Address: 127.0.0.1 Destination Port: 1433 Protocol: 6 Filter Information: Filter Run-Time ID: 0 Layer Name: Connect Layer […]
on ossec 2.8.3我正在尝试从windows代理获取rdpvalidation的警报。 这些事件显示在客户端事件日志Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational中,例如eventID 1149 我在我的Windows代理conf文件 <localfile> <location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location> <log_format>eventchannel</log_format> </localfile> 在我的local_rules.xml中的服务器上 <group name="rdesktop"> <rule id="100888" level="1"> <match>Remote Desktop Services</match> <description>Remote Desktop Connection Established</description> </rule> </group> 我没有从远程客户端(如果我使用安全性发送警报)消息, 如果我生成了1149个login事件,我发现有一些stream量从客户端到服务器使用tcpdump,但是在ossec服务器中甚至没有证据甚至是<logall>yes</logall> 。 任何人都可以分享一些见解 非常感谢g。
Windows Server 2008 R2服务器configuration为通过源发起的事件订阅收集Windows事件日志。 该订阅似乎是活跃的,但没有收集事件。 在客户端上Microsoft-Windows-Eventlog-ForwardingPlugin/Operational有错误,事件ID 105如下所示: 转发器在地址http:// <server name> :5985 / wsman / SubscriptionManager / WEC上与订阅pipe理器进行通信时遇到问题。 错误代码是2150859027,错误消息是WinRM客户端向HTTP服务器发送请求,并得到一个响应,说明请求的HTTP URL不可用。 这通常由不支持WS-Management协议的HTTP服务器返回。 。 和 转发器在地址http:// <server name> :5985 / wsman / SubscriptionManager / WEC上与订阅pipe理器进行通信时遇到问题。 错误代码是1311,错误消息是WinRM无法处理请求。 使用Kerberos身份validation时出现以下错误代码0x80090311:我们无法使用此凭据login您,因为您的域不可用。 确保您的设备已连接到您组织的networking,然后重试。 如果您之前使用其他凭据login了此设备,则可以使用该凭据login。 可能的原因是: – 指定的用户名或密码无效。 -Kerberos用于没有authentication方法和用户名没有指定。 -Kerberos接受域用户名,但不接受本地用户名。 – 远程计算机名称和端口的服务主体名称(SPN)不存在。 – 客户端和远程计算机处于不同的域,两个域之间没有信任。 检查上述问题后,请尝试以下操作: – 检查与事件查看器相关的身份validation事件。 – 更改authentication方法; 将目标计算机添加到WinRM TrustedHostsconfiguration设置或使用HTTPS传输。 请注意,TrustedHosts列表中的计算机可能未经过身份validation。 – 有关WinRMconfiguration的更多信息,请运行以下命令:winrm […]
我为Windows事件收集器configuration了源启动的事件订阅,但是尽pipe在查询filter中select了“ Logged : Any Time ,但仅收集创build订阅后发生的事件似乎被收集。 有什么办法来收集事件订阅创build之前发生的事件吗?
我们在我们的networking中安装了3台RDS 2012 R2主机,它们都是独立的会话主机。 在上个月左右WinLogin进程崩溃,导致人们无法login。 多数情况下,这种情况发生在星期五早晨,尽pipe最后一个星期五早上星期五晚上发生了。 它不会影响所有的服务器,同时它是完全随机的。 我解决这个问题的方法是强制closures虚拟机并启动备份。 如果用户已经login,不会影响他们,只是新的login尝试失败(来自用户或进程)。 我一直得到同样的事件: Windowslogin过程意外终止。 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC- A3CB16A3B538}" EventSourceName="Winlogon" /> <EventID Qualifiers="49152">4005</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2017-10-28T01:58:51.000000000Z" /> <EventRecordID>4249609</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>MY-TS.dn.local</Computer> <Security /> </System> <EventData> <Binary>CA080000</Binary> </EventData> </Event> 我不确定在哪里寻找这个 – 任何想法?
我有一个随机停止工作的Windows Server 2003(在监视器上显示图像,但完全冻结),所有我可以在事件日志中find的原因是来自atapi的错误和来自msas2k3的警告。 事件日志条目是: 事件types:错误事件源:atapi事件类别:无事件ID:9date:22-07-2009时间:16:13:33用户:N / A计算机:SERVER说明:设备\ Device \ Ide \ IdePort0,在超时期限内没有响应。 有关更多信息,请参阅http://go.microsoft.com/fwlink/charts.asp上的“帮助和支持中心”。 数据:0000:0f 00 10 00 01 00 64 00 ……天。 0008:00 00 00 00 09 00 04 c0 ……. 0010:01 01 00 50 00 00 00 00 … P …. 0018:f8 06 20 00 00 00 00 00ø。 ….. 0020:00 00 00 00 […]
我写了一个简单的批处理脚本来监视一些服务,并定期重新启动它们。 我已经使用eventcreate命令来写入Windows事件日志,这似乎是一个logging我的行动的好方法,但我注意到'category'字段总是空的。 我可以使用这个字段来增加一些额外的信息吗? 它似乎没有在eventcreate它的参数。 或者这是保留一些内部的Windows数据?
对于这个奇怪的标题感到抱歉,想不出一个很好的方式来解释这个。 我有一个不在域中的Win2008服务器。 我有两个Win2003机器,一个在域中,一个没有。 所有这三个人都有一个名为“testAdmin”的本地帐户,其密码相同。 通过使用同步本地帐户,Win2003机器可以通过RDC连接到Win2008服务器,可以读取远程应用程序事件日志等。 如果我使用域帐户loginWin2003域连接的计算机,然后尝试连接到Win2008计算机,则没有骰子(预计 – 2008不是该域的一部分)。 但是,如果我使用Windows事件日志查看器,并尝试连接到Win2008机器,给予同步的本地帐户和密码,它仍然不工作(访问被拒绝)。 呃还是:我可以发一个 NET USE \\<win2008>\IPC$ <local_password> /USER:<2003-local-account> IPC $ attach工作 – 它显示在一个空白的NET USE命令中。 但是,如果我尝试查看Win2008事件日志,仍然会拒绝访问。 所以不知何故,2008年的机器可以告诉我是否在2003机器上扮演本地帐户。 它怎么能做到这一点? 我怎样才能让2008年的机器,让我在作为一个域帐户login,但使用本地帐户的凭据?
我有一个Windows 2008崩溃,需要重新安装。 旧的安装现在在windows.old目录中。 我怎样才能访问这些事件日志,试图找出发生了什么?
在我们的testing框中,当尝试访问在Umbraco中build立的一个特定站点时,我们间歇性地获得了“服务不可用”的空白页面。 其他网站都很好。 在AppPool停止工作之前,我们似乎在事件日志中发现了一些错误,如下所示。 错误应用程序w3wp.exe,版本6.0.3790.3959,戳记45d6968e,错误模块kernel32.dll,版本5.2.3790.4480,邮票49c51f0a,debugging? 0,故障地址0x0000bef7。 停止并启动AppPool修复错误。 关于获取更好的错误消息或导致“服务不可用”错误的任何想法?