我正在尝试configuration事件日志监视snmp陷阱“服务”在Windows服务器上。 请参阅: 如何被动地监视Windows事件日志? & http://www.eric-a-hall.com/articles/20050715.html 我使用snmptt的前端(Centreon)需要一个MIB导入,以便它快速生成snmptt.conf文件。 为了获得对我的问题的回答,大多数人可能会忽略这一点: 如何编写一个包含所有OID的“通配符”的MIB文件? 我只是简单地加了.0,但是在testing过程中,它似乎不起作用。 以下是有关configurationsnmptt的更多信息: http ://wiki.nagios.org/index.php/Howtos:snmp-windows
我正在检查我的远程桌面事件日志,并为我input一个令人困惑。 该事件是一个正常的用户名login事件,但在详细信息中有源IP的破折号( – ),而不是源IP地址。 其他事件有正确的源IP,那么为什么这个条目没有IP源地址? 这里是事件日志的描述 英文: http : //pastebin.com/CtHC6xKD 除IP外,其他窗口中的文本是相同的。
我有一个可以写入事件日志的WCF日志logging服务。 唯一的问题是它写入的事件源必须已经存在,它不能创build它,因为应用程序池服务运行在没有pipe理员权限。 应用程序池是否可以被授予特定的权限,以允许其创build事件源,还是实际上必须位于pipe理员组中? 我显然不会让应用程序池成为pipe理员,但是如果我可以授予它创build超级酷的事件源的权限。 我真的不希望有一个单独的安装实用程序,只是为了创build事件源。
使用WMI查询事件日志非常简单,例如使用Win32_NTLogEvent: Get-WmiObject -query "SELECT *FROM Win32_NTLogEvent WHERE (logfile='Application' and SourceName='Something') 但是,如果我想查询包含使用Windows事件收集器收集的事件的日志,则不会显示在结果中,即使是来自同一日志中的其他来源的事件也是如此。 我可以使用cmdlet Get-Eventlog检索WEC事件,但这并不能解决我的问题。 我想要做的是使用__InstanceCreationEvent ,并在日志中插入新事件时执行某些操作(将其转发给kafka实例)。 请参阅脚本专家和Logstash Eventloginput模块的示例,以供使用。 $query = "Select * from __InstanceCreationEvent Where TargetInstance ISA 'Win32_NTLogEvent' And (TargetInstance.LogFile = 'HardwareEvents')" $Eventwatcher = New-Object management.managementEventWatcher $Query $Event = $Eventwatcher.waitForNextEvent() 这适用于正常日志,但不适用于从Windows事件收集器转发的事件。 有什么build议么?
我需要解决一些我们正在遭受的WMI崩溃。 不幸的是,事件日志没有显示任何细节,因为描述丢失。 这是日志说: The description for Event ID 5612 from source **Microsoft-Windows-WMI** cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer. If the event originated on another computer, the display information […]
我承认有一小部分状态为0x80090308的事件4625项和子状态0x0; 所有4625的2%。 这基本上是一个login失败,但没有任何信息,我可以用来进一步研究。 这就是吸引我的观点。 我不知道它是什么,它来自哪里。 唯一的共同点就是它每次都来自同一个DC,四个。 与procmon.exe我试图把它连接到从远程资源(logintypes3)的特定连接,但所有的连接和行动在这样一个特定的时间框架中procmon有一个成功的标志。 0x80090308的状态码似乎没有被logging在任何地方。 有没有其他人遇到这个错误代码,并可能有一个想法,在哪里看? 谢谢,SL An account failed to log on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: An error has occured during […]
我在我的系统事件日志中收到以下错误: 服务控制pipe理器,事件ID 7000 诊断服务主机由于以下错误而无法启动:服务需要正常运行的权限不存在于服务帐户configuration中。 您可以使用服务Microsoftpipe理控制台(MMC)pipe理单元(services.msc)和本地安全设置MMCpipe理单元(secpol.msc)来查看服务configuration和帐户configuration。 经过一番search后,我发现有这个问题的其他用户已经通过编辑他们的本地/组策略并且改变他们解决了它 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile system performance条目具有Administrators,NT Service\WdiServiceHost作为值。 我也添加了LOCAL SERVICE ,但也不能解决问题。 执行“sc查询WdiServiceHost”命令会导致: SERVICE_NAME : WdiServiceHost TYPE : 20 WIN32_SHARE_PROCESS STATE : 1 STOPPED WIN32_EXIT_CODE : 0 (0X0) SERVICE_EXIT_CODE : 0 (0X0) CHECKPOINT : 0X0 WAIT_HINT : 0X0 不知道为什么它的相关,但一些响应要求确保Diagnostic Policy Service启动,我的是。 Diagnostic System Host也启动。 任何帮助,将不胜感激!
我正在研究触发我们监控软件的login失败问题。 研究这个问题,我能find的唯一的其他信息正是我所看到的,在这里: 事件4625审计失败NULL SID失败的networkinglogin 试图跟踪这个,我使用过程监视器,并设置2个filter: 进程是lsass.exe 结果不成功。 然后,我将结果与失败的审计尝试进行匹配,并且似乎与stream程监视器中的这两行相对应,因为他们每次都在审计失败的确切时间显示: 1:05:47.4932903 PM lsass.exe 896 RegOpenKey HKLM\Software\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots NAME NOT FOUND Desired Access: Read 1:05:47.4941867 PM lsass.exe 896 RegQueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceAutoLockOnLogon NAME NOT FOUND Length: 144 我不知道我是否正在寻找正确的位置来追踪这个问题,或者现在该怎么做。 有什么build议么? 我是新的serverfault,所以我不能评论或回答上面的链接的问题,但会好奇,如果他/她看到了与进程监视器相同的结果。 这是一个事件查看器事件: An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 […]
我有一个持续的问题,我们的一些Windows桌面系统,我们看到各种MSI软件包抛出错误1606(和1314,在MSI日志),这是一个权限问题,当试图安装。 该位置几乎总是用户的文档,图片或这个层次中的其他文件夹的位置 – 但是这个位置确实存在并且很有可能访问它(通过可以生成并存储在所述位置的日志文件来certificate)。 有一段时间我一直在想这是因为我们将用户的目录设置为UNCpath,因为将它们改为驱动器号似乎解决了这个问题。 但是,有些情况下UNCpath似乎没有引起与具有相同设置的不相关机器(SCCM客户机设置,相同的应用GPO,相同权限等)的问题。 我在technet,autodesk论坛上search了很多,并且与支持我们使用的软件包之一的公司进行了联系,但是目前为止似乎没有人能够提供帮助。 通常给出的答案是检查registry中用户shell文件夹键中的path,但是这些都是故意设置为UNCpath。 仅供参考,我们使用UEV虚拟化用户的configuration文件。 他们login,然后发生以下映射: 用户文件%homeshare%存储在networking共享位于\ fileserver \ home $ \ username \(例如文档,桌面等) %appdata%的用户设置存储在networking共享上的\ fileserver \设置$ \ username \ 每个用户都可以访问上面path上的自己的共享,并且拥有对他们区域的完全权限。 例如,一个软件包被设置为在login时安装每个用户。 正如典型的这个问题,我们然后得到一个错误,说明桌面文件夹不能被访问,当它可以清楚地。 但是,以pipe理员身份运行有时会起作用 – 但是这又是一个每个用户的软件包,所以必须为login的用户运行。我甚至不确定引发错误的文件夹是否均匀用过的; 那么这只是一个configuration不好的MSI? registry设置如下,对于标准机器: 下面是我们看到的有些应用程序的例子: AutoCAD 2014: 当用户(有些用户,并不是所有人)尝试第一次运行AutoCAD时,popup错误1606。 如果pipe理员(本地和域)试图启动它,一切运行良好,似乎设置存储在本地,而不是他们的networking共享存储区的设置。 有时。 但是,如果普通用户试图运行它,则显示消息不能访问文件夹。 签名3.20: 尝试以域用户身份安装AutoCAD时,popup错误1606。 最终安装失败,因为它不能访问/ SendTo或/ Documents msiexec日志中的示例: MSI (c) (40:28) [15:55:12:744]: Note: 1: 1314 2: \\fileservc\settings$\otb\Microsoft\Windows\SendTo \ […]
我很抱歉在一个非常老的操作系统上提出一个问题: 我使用的客户端有Windows Server 2008 R2和Windows Server 2012域控制器。 但是,他们仍然在Windows Server 2003域和林function级别运行(是的,这是糟糕的,生命的结束和不受支持的,并且正在进行中的工作来说服他们提升它)。 他们正在尝试检索有关更改为活动目录用户帐户的日志。 我知道,从Windows Server 2008开始,对事件日志进行了各种增强,以logging更多关于哪些属性被修改的信息等等,而且我非常确定为了使事件日志logging这些事件, 需要提升架构其他元素和属性。 我正在使用的客户端正在寻找相应的文档,而且我正在很难从Microsoft获得有关事件日志增强function的官方文档。 任何人都可以证实这种情况,或者指出微软将这些更改logging在哪里?