Articles of windows event log

如何在Windows Server 2008 R2的安全Windows日志中列出失败的FTP尝试的源networking地址?

我pipe理一台运行Windows Server 2008 R2的服务器,这个服务器不断遭到通过FTP的暴力攻击的轰炸。 这些失败的login尝试在Windows日志的“安全”部分显示为“logintypes为8(NetworkCleartext)”的审核失败错误(事件ID 4625)。 在每个事件日志条目中,源networking地址(即应该被阻止的有问题的IP地址)从不列出,但是IP地址列在FTP日志中(默认位于C:\ inetpub \ logs \ LogFiles \ FTPSVC2 )。 有没有办法让FTP日志清楚知道的有问题的IP地址也出现在安全Windows日志中?

事件日志保存在networking共享上

我目前正在做一个项目,并保存事件日志,我指定他们的问题。 我的问题是我想让他们保存在我们的文件服务器在指定的文件夹,但他们不会保存更改,并继续使用其已经存在的文件,到目前为止我已经改变日志path\ FS \域\日志[日志名称],使pipe理员共享的文件夹,甚至尝试给每个人访问该文件夹,但是这些都没有工作 我可以通过读/写权限访问文件共享,并且手动创build了path和文件 我想知道我正在尝试甚至可能或者我做错了什么

如何从文件中筛选Windows 2003安全日志?

我有一个evt格式的Windows 2003安全日志文件。 我需要通过EventID 540筛选日志,并从中生成唯一的用户列表。 我正在使用Windows 7机器来做到这一点。 任何想法的最佳途径? 编辑 这个剧本为我做了 $ErrorActionPreference= 'silentlycontinue' $users = @() Get-WinEvent -FilterHashtable @{Path="C:\TEMP\LogonLogoffEvents.evtx";ProviderName="security";id=540} | foreach { $sid = $_.userid; if($sid -eq $null) { return; } $objSID = New-Object System.Security.Principal.SecurityIdentifier($sid); $objUser = $objSID.Translate([System.Security.Principal.NTAccount]); if ($users -NotContains $objUser.Value) { $users += $objUser.Value $objUser.Value >> "C:\temp\users.txt" } }

多个服务器上的事件日志

我正在寻找工具,这将允许我从多个服务器聚合和查询事件日志。 在我的情况下,这是一个webfarm,我需要能够在一个地方查询所有的事件日志。 任何人都可以推荐这样的工具?

是否可以将Windows事件日志从多个服务器导出到非Windows主机,而无需在每台Windows服务器上运行事件pipe理器?

我想从Windows将事件日志导出到非Windows主机。 我正在考虑使用Logstash,但似乎要求我在每台服务器上安装并运行Logstash。 是否有可能做到这一点,而不必在所有的服务器上运行它? 我希望能够整合来自不同服务器的所有信息,使search和报告更容易。 如果没有,你会推荐什么是实时导出到非Windows主机的最佳方式?

如何从域控制器日志中检索以前的IP / DNS信息?

我不幸有DNS清除; 我需要检索的信息可能已经在事件查看器的DNS日志中,但这不再存在,或者我可能没有正确地寻找它。 故事:我需要报告在我们的networking上投掷可疑活动的机器。 活动发生在特定的时间窗口之间。 DNS / IP已经改变了。 我从安全团队获得的所有信息都是知识产权和时间窗口。 问题:有没有其他地方可以获取日志信息,并在特定时间追踪哪台机器具有特定IP? 我也会问networking在交换机/网关方面的东西(也许钉到Mac地址或东西),但我希望我能find一种方法来validation从系统端。 有任何想法吗?

如何在Excel 2007中打开事件查看器文件

我有一个事件视图,我需要筛选和数据透视。 我试图将文件导出为CSV文件,但缺less说明。 我尝试导出文件为XML,但没有模式,所以Excel打开它作为一个表,它是没有用处。 有没有办法,我可以在Excel中打开一个事件日志,并能够对数据进行透视/筛选,但仍保留日志条目的描述部分。

SQL Server数据库不断重启

我们在Windows 2003服务器上安装了SQL Server 2008 Express。 查看事件日志,其中一个数据库似乎在从几秒到每隔15到30分钟的任何地方重新启动。 该服务器托pipe着大约六十个数据库; 问题是只有一个。 这个数据库也是由多个模式(不仅仅是dbo )组成的一个数据库。 有数千个事件可以追溯到几个月。 在使用数据库的网站上似乎没有任何影响,也没有任何数据似乎被破坏或损害。 我不是DBA,所以我甚至不知道在哪里寻找原因。 有什么build议么? 编辑:这是来自事件查看器的示例条目: date:2010年6月1日时间:11:20:52 AMtypes:信息用户:不适用计算机:MyServer源:MSSQL $ SQLEXPRESS类别:服务器事件ID:17137描述:启动数据库'MyDatabase'。

在哪里授予帐户对事件日志的权限

我的asp.net应用程序没有写入Windows事件日志的权限。 它在networking服务帐户下运行。 有没有任何工具/pipe理控制台,而不是破解在registry中保证许可? 谢谢! 顺便说一句。 我正在使用Windows Server 2003。

在Server 2003 R2中移动文件夹的事件ID

我们昨晚在我们的系统中移动了一个文件夹,在整个networking中造成连锁反应,改变文件path,基本搞乱了我们的文档。 我们正在对服务器日志进行审计,以查找移动文件的时间和用户。 移动文件的事件ID是什么? 或者,通过数以千计的事件日志查找事件,最简单的方法是什么。 文件和文件夹审计已到位。