今天在其中一台服务器上注意到,事件查看器/安全性有很多"Failure audit"消息,例如: 该消息每秒重复一次,端口号增加一个端口范围从1025到5000 ,然后再次。 对我来说,这样的“端口扫描”看起来相当可疑! 我试过运行TCPView来查找更多细节,但它只显示进程,ID和端口。 这是由spoolsv.exe这样devise的吗? 或者这是某种恶意软件? 有没有人看过这个? 文件服务器和打印服务器angular色安装在服务器上。
使用GPO部署软件时,在组策略结果向导中出现以下错误,并显示黄色感叹号。 安全性已请求再次处理其策略设置。 这可能是由于在之前的策略处理期间发生非关键性错误。 其他信息可能已被logging。 查看控制台或应用程序事件日志中的“策略事件”选项卡以查看2013年8月9日下午3:24:54和2013年9月8日下午3:25:21之间的事件。 它只发生在一个特定的客户端上,具有相同策略设置的同一台计算机不会抛出相同的错误。 我已经检查了本地机器上的事件查看器,上面的时间框架中唯一的错误是: 在26739毫秒内完成安全扩展处理。 有没有人有任何想法是什么造成这个问题。
我们在IIS 8上托pipe了一个内部Web应用程序,通过HTTPS公开了一些REST服务。 由于它被其他应用程序访问,我们需要客户端证书 。 由于缺less客户端证书或客户端证书不正确,我们正在收到一些身份validation失败,但我们需要将它们logging为Windows事件,以便我们可以使用我们的监视基础架构 我们如何正确configuration在Windows Server 2012上运行的IIS 8来转发客户端证书身份validation失败错误,以便它们出现在Windows事件中? 是否有任何需要安装并运行的特殊服务器function才能正常工作?
我想为我的域中的所有计算机设置安装日志的最大大小,但在组策略中,我只能看到最大应用程序,安全性和系统日志的GPO设置。 有没有办法在GPO中设置最大的安装日志大小,或者以其他方式复制到我的域中的所有机器?
当域用户帐户被locking时,我无法使Windows Server 2008进行日志logging。 我的域控制器都是Windows Server 2008 R1。 我能够find不正确的用户名/密码的审计失败事件(ID 4771),但是当错误的尝试次数过多时,帐户被locking时无法find。 到目前为止,我从在线阅读中发现,“审核帐户locking”组策略(在计算机configuration>策略> Windows设置>安全设置>高级审核策略configuration>审核策略>login/注销时发现)必须设置为失败它logging失败,但它仍然没有被logging。 我已经在默认域策略和默认域控制器策略下configuration了这个策略,因为默认情况下在这里启用了很多帐号/密码策略,通常我不碰这些GPO。 经过testing,我可以看到事件ID 4625logging在客户端的本地事件日志上,但不在DC上。 再次,我可以看到DC上的不正确的用户名/密码事件4771(我也检查过所有的DC日志),而不是4625。 注意:当我在组策略中configuration审计帐户locking事件时,我通过工作站上的RSAT工具对其进行了configuration。 当我尝试在DC本地configuration它时,该特定设置不可用。 我的工作站是Windows 8.1,服务器是2008 R1。 我不知道这是否有所作为,但我已经使用我的工作站configuration组策略之前,我不能在DC上configuration,他们已经工作。 谢谢。
我正在尝试创build一个事件日志档案,但它似乎并没有工作。 服务器2k12 R2环境。 以下是我启用的GPO: 我重新启动了服务器,并确保使用“gpresult / r / scope computer”进行应用。 我也使用gpedit.msc在本地进行了检查,并成功传播了相同的设置。 不幸的是,除了“审核日志已满”popup窗口日志不断被覆盖。 我不妨提一下,所有的日志都是100MB的大小。 编辑:我启动了进程监视器,发现这个: 这对我来说太奇怪了。 如何才能写入Security.evtx,但不能创build一个新的文件? 如果系统对该目录有完整的控制,可能会丢失什么?
工作站上的用户或使用OWA的电子邮件用户不能更改密码。 密码可以使用Active Directory用户和计算机进行设置。 Win2008 R1 32位域控制器。 Win7 Pro桌面。 各种Exchange用户通过各种浏览器访问OWA。 桌面用户得到“这台计算机没有与域的信任关系”。 我经历了从域中删除桌面,然后重新添加的build议过程,但问题仍然存在。 OWA用户得到“您的密码无法更改,请确保您input的旧密码正确,并且新密码符合最低安全要求。 可以从Active Directory用户和计算机设置相同的密码,因此这不是密码复杂性问题。 在查找事件ID 4723,4724,4738以查找这些故障时,安全事件日志中没有显示任何内容。 “默认域策略”中的“审核帐户pipe理”已启用成功和失败 这几个月(这是一个小的领域)一直是一个滋扰,但现在它成为更多的问题。 任何build议在哪里看?
我们在客户的网站上有几个“RDX”USB盒式磁带机 。 通常他们不logging任何事件到Windows事件日志。 安装可选的“RDX工具”后,此更改。 安装完成后,您将看到名为“RDXmon”的源在“应用程序”日志中的条目。 (现在有一个名为RDXmon的服务,运行C:\Program Files (x86)\RDX\Service\RDXmon.exe 。) 而这个来源似乎没有正确安装与Windows。 string没有正确parsing。 相反,你会得到这样的消息,这些消息是以Windows锅炉板为前缀的: 来自源RDXmon的事件ID 0的说明找不到。 引发此事件的组件未在本地计算机上安装,或者安装已损坏。 您可以在本地计算机上安装或修复组件。 如果事件发生在另一台计算机上,显示信息必须与事件一起保存。 活动中包含以下信息: RDXmon: MediaInsereted()IOCTL失败。 设备:1 – (错误代码:2)系统找不到指定的文件。 (我想MediaInsereted是“MediaInserted”的一个奇怪的错字。) 问:有没有人设法解决这个问题? 任何人都可以阐明这一点? 这是不正确的安装,或RDXmon只是一个debugging工具,他们根本就没有打扰,正确地将其与Windows集成? 或者,换句话说:有没有人设法让RDXmon输出正确的消息? 我无法通过谷歌find太多的东西,似乎没有官方的腾博论坛。 而且似乎没有“RDXmon”的文档。 更多信息:供应商没有注册 我认为提供者/出版者/来源没有注册。 (我不清楚确切的术语。) 至lessWEvtUtil空了: PS C:\> wevtutil enum-publishers | findstr /I rdx PS C:\> (我假设WEvtUtil.exe的“发布者”与PowerShell的Get-WinEvent调用“提供者”的内容相同,而eventvwr.msc调用的是“源代码”,请纠正我的错误。 虽然它没有注册,但它仍然logging到“应用程序”日志中: PS C:\> Get-WinEvent -Logname Application -MaxEvents 1111 2>$null | […]
有什么区别 C:\Windows\System32\LogFiles 和 C:\Windows\System32\winevt\Logs ? 还有其他重要的系统日志位置吗?
我有一个在Windows 7工作站上设置审计帐户pipe理成功/失败的GPO。 RSOP 用户Acc被创build 任何想法可能会导致与logging事件这个问题?