Log Name: System Source: LsaSrv Date: <date> <time> Event ID: 45058 Task Category: Logon Cache Level: Information Keywords: Classic User: N/A Computer: computername.contoso.com Description: A logon cache entry for user [email protected] was the oldest entry and was removed. The timestamp of this entry was **MM/DD/YYYY HH:MM:SS** 鉴于上面的例子evtx日志,是描述 UTC中的时间戳时区? 我的理解是实际事件日志的date/时间是UTC,我只是想确认描述中提供的date和时间是UTC。 这是一个win2k8操作系统。 谢谢
我已经启用了文件审计,我希望能够筛选给定的用户操作。 我已经build立了一个非常基本的XMLfilter,但我似乎无法得到它的工作。 我已经有了一些除AccessList以外的事件数据类别,如HandleId和SubjectUserName。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] </Select> </Query> </QueryList> 我试图find以下内容: <Event> <EventData> <Data Name="AccessList">%%1537</Data> </EventData> </Event> 任何人可以提供一些指导?
运行Windows Server 2008r2。 启用DHCP日志logging(服务器pipe理器,angular色,DHCP服务器,IPv4,属性,常规,启用DHCP审计日志logging)。 在DHCP事件日志(事件查看器,自定义视图,服务器angular色,DHCP服务器)中,我可以看到启动DHCP服务器的事件,但不会logging新的DHCP地址租约。 我怎样才能使日志logging包括新的租约?
Windows 2012如何pipe理事件日志保留? 它是否像'NIX系统'一样旋转日志? 它是否在磁盘已满时自动删除旧日志。 任何方式来定义日志保留期限? (例如,删除超过六个月的日志)
我正在寻找一种简单的方法来logging重新启动服务器上的服务的用户名。 这在2003年是可能的,但是我不认为在2008年和2012年是可能的。
我试图debugging一个奇怪的渲染/互动问题,在IE浏览器中的Web应用程序,并认为我会偷看在Windows(XP)的事件查看器,看看是否有什么奇怪的事情发生在同一时间。 我看到类, 系统 , 安全 , 应用程序等,但我也看到一个“ Internet Explorer ”,但没有事件,如果我查看属性,我不能设置日志文件名称…假设我不能logging事件) 有没有在IE浏览器的某处魔术设置,以使其工作? 或者是这个类别是由其他应用程序自动生成的,只是没有正确连接? PS奇怪的问题(好奇)是一个非常随机的Web应用程序中的一个popup窗口,只有一个客户端网站,经过长时间使用,突然渲染/涂料完全黑。 HTML源代码仍然存在,未设置为<body bgcolor =“#000000; …>,但与popup窗口的任何交互都失败,IE需要完全重新启动才能修复。
一般描述如下: Some Exchange ActiveSync traffic to the External URL 由于虚拟目录WIN2K8EX1 \ Microsoft-Server-ActiveSync(默认网站)configuration错误,导致https://owa.domain.com/Microsoft-Server-ActiveSync被阻止。 请确保使用Set-ActiveSyncVirtualDirectory cmdlet正确标记了外部URL。 每当我尝试运行get-activesyncvirtualdirectory [PS] C:\ Windows \ system32> get-activesyncvirtualdirectory 无法创buildIIS目录条目。 错误消息是访问被拒绝。 。 HResult = -2147024891 CategoryInfo:NotInstalled:(WIN2K8EX1 \ Micro … fault Web site):ADObjectId)[Get-ActiveSyncVirtualDirectory tory],IISGeneralCOMException FullyQualifiedErrorId:EEC0CFF1,Microsoft.Exchange.Management.SystemConfigurationTasks.GetMobileSyncVirtualDire ctory 名称: Microsoft-Server-ActiveSync(默认… 服务器: WIN2K8EX InternalUrl: https://win2k8ex.jewels.local/Micros …
我不知道是否在dba.stackexchange.com或这里问这个问题。 Windows Server 2008pipe理事件中会定期logging以下错误: 从远程服务器接收到的证书由不受信任的证书颁发机构颁发。 正因为如此,证书中包含的数据都不能被validation。 SSL连接请求失败。 附加的数据包含服务器证书。 Log Name: System Source: Schannel 其次是: 生成以下致命警报:48.内部错误状态是552。 Log Name: System Source: Schannel 如果我将SQL Serverconfiguration中的强制Encryption属性从“否”更改为“是”(请参见下图),则不会再logging该错误。 但是我并不需要SSLencryption,因为所有的连接都是可信的(来自内部网),端口1333和1334从互联网防火墙。 如果我强制encryption并生成服务器证书,会对性能产生什么影响吗?在我的情况下,是否会推荐? 我不想强制encryption,只是为了防止某些事件日志,如果它甚至不会导致严重的连接问题(我可以看到哪个连接导致它?)。 问:有人可以解释为什么这些错误是从哪里来的 ?
我有几个有关Windows事件日志和服务器2008年最佳实践的权限以及2008年用户的权限的问题。 我试图将EVTLogs写入另一个驱动器而不是默认驱动器。 当我将日志redirect到另一个驱动器(通过rt-click,属性,更改path)而不是默认的C:时,它们将无法写入,除非server \ users有权访问日志正在写入的文件夹。 具体来说,用户具有以下权限:创build文件/写入数据; 创build文件夹/追加数据; 遍历文件夹/执行文件; 列出文件夹/读取数据; 阅读属性; 读取扩展属性。 如果此权限不在文件夹上,则即使作为服务器上的pipe理员,文件夹也会在文件夹上显示一个locking图标,EVTLogs将不会写入该文件夹。 在2003年,拥有这些权限的系统似乎能够做到这一点,但在2008年似乎还不够。 那么,究竟用户究竟是什么时候分崩离析,以及在2008年将EVTLogs写入另一个驱动器的最佳做法是什么呢?
我可以看到服务的平面图,包括偶尔在服务器上重新启动的疑难解答(自定义产品服务)。 没有模式。 随机一项服务每10-15分钟重新启动一次。 我的服务不应该自行重启,但有时会受到服务器上发生的事情的影响。 有没有办法来检查什么或谁不断重新启动Windows服务?