我正在尝试在我的域中configuration审计设置。 我的域控制器是Windows Server 2008,我的环境的其余部分是2008或2008 R2。 我需要设置的一些审核策略是出现在“组策略”中的“高级审核策略”设置中的一些设置,仅在Server 2008 R2上才会显示。 由于我的域控制器是2008(非R2),我如何使这些更细化的审计设置,而不是由组策略中基本审计策略提供的一般审计设置,并使其在我的域中传播?
我被要求创build文件访问的审计logging。 由日志简直是压倒性的。 在记事本中打开的文本文件的双击将创build超过10个日志条目与事件ID 4663.我看到一个READ_CONTROL访问许多次。 这是什么和什么访问权限生成这个? 我想修剪数据收集,只logging那些反映文件实际打开的读取或写入。 这是在Windows Server 2008上。
在我们的远程桌面terminal服务器上,我们遇到了最频繁的以下schannel错误。 日志名称:系统 来源:Schannel date:11/18/2015 1:04:56 PM 事件ID:36888 任务类别:无 级别:错误 关键词: 用户:SYSTEM 计算机:RD2。{removed} .com 描述: 生成以下致命警报:10.内部错误状态为10。 事件Xml: <Event xmlns =“http://schemas.microsoft.com/win/2004/08/events/event”> <系统> <Provider Name =“Schannel”Guid =“{1F678132-5938-4686-9FDC-C8FF68F15C85}”/> <事件ID> 36888 </事件ID> <版> 0 </版本> <等级> 2 </等级> <任务> 0 </任务> <操作码> 0 </操作码> <关键字> 0x8000000000000000 </关键字> <TimeCreated SystemTime =“2015-11-18T18:04:56.498068400Z”/> <EventRecordID> 1969389 </ EventRecordID> <关联/> <Execution ProcessID =“572”ThreadID =“48732”/> <通道>系统</通道> […]
我的目标:我想找出谁删除networking共享上的文件。 用户有时会抱怨说文件丢失了,像往常一样,其他的都是怪罪。 我为此networking共享启用了文件审核function。 如果我去事件查看器查看审计事件,我会看到大量的审计事件,有时来自同一用户的同一秒内超过100个,只有“ReadAttributes”或“ReadData(或ListDirectory)”。 (我假设search索引或类似) 我怎样才能禁用日志logging这个事件,所以他们不洪水我的事件日志? 我的解决方法是使用XMLfilter <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> * </Select> <Suppress Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]] </Suppress> </Query> </QueryList> 只显示更改和删除等重要日志。 安全日志中总是有28-29k个事件。 也许因为洪水,我只能看到最后几分钟的日志,而不是从1小时前或更长时间。 另外如果我使用XMLfilter。 例如,如果我运行 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]] </Select> </Query> </QueryList> 显示文件删除,我只看到像过去五分钟的。 如果十分钟之后我看到一个完全不同的输出,而不再是15分钟前删除的文件。 在日志中是否有最大数量的事件,如果已经达到,那么旧的会被删除? 档案? 我从哪里可以find一天前的日志? 总之,这使得审计日志通常只有在几天之后(如果不是几周的话)才会发现一个重要的文件被删除。 build议?
根据这里的文件,星号通配符是支持的,因此它应该在例如。 * [EventData [Data [@Name ='TargetUserName'] ='User1 *']] 但我不能得到任何通配符filter工作 – 有人能够做到这一点?
我们有一个Windows Server 2003 R2运行Service Pack 2.它是一个域控制器(全局编录)和我们的主要内部DNS服务器。 我们运行机器的系统状态备份来备份Active Directory信息,并将备份保存到不同的服务器上。 此服务器具有单个驱动器(C :),并且卷的卷影副本已启用(正在成功完成)。 系统状态备份现在失败,备份日志中列出以下内容: 创build卷影副本:尝试1.“事件日志编写器”报告了错误0x800423f4。 这是系统状态的一部分。 备份无法继续。 创build卷影副本时返回错误:800423f4正在中止备份。 操作没有成功完成。 当做一个vssadmin列表编写器,我们有时得到以下报告的事件日志编写器(其他时间它说,它处于“[1]稳定”状态,没有错误): 作家名称:'事件日志作家'作家编号:{eee8c692-67ed-4250-8d86-390603070d00}作家实例ID:{c7194e96-868a-49e5-ba99-89b61977753c}状态:[8]失败最后一个错误:可重试错误 我们尝试通过registry禁用事件日志服务,重新启动,删除驱动器中的事件日志文件,然后通过registry重新启用服务,然后重新启动,但是这似乎并没有解决问题。 当我们在事件查看器中尝试打开“文件复制服务”的“文件复制服务”的日志时,我们也会收到一条错误消息,安全描述符结构无效。 我通过Googlesearch了这个错误,并尝试了许多不同的东西,但似乎没有任何帮助。 任何build议,我们可能会尝试让事件日志作家的行为将不胜感激!
在less数Windows 2003 Web Ed上运行IIS 6。 服务器。 每个应用程序池都configuration了x分钟的“空闲超时”。 没有回收,只是属性性能选项卡的空闲超时。 我希望看到这些人在事件查看器日志中闲置的时间。 到目前为止还没有设法做到这一点。 我知道他们正在closures的基础上在晚上减lessw3p.exe进程,事实上,每一天开始与那些使用较less的内存比在prev结束的内存。 天。 我到目前为止做了什么 我从TechNet文章IIS 6.0中的日志logging工作进程回收事件开始 。 对于每个应用程序池,我运行以下内容: cscript adsutil.vbs set w3svc/AppPools/AppPoolName/EventName true 对于EventName,我使用了AppPoolRecycleTime和AppPoolRecycleSchedule。 接下来,我发现如何修改IIS 6.0支持文章中的应用程序池回收事件 。 对于每个应用程序池,我运行以下内容: cscript adsutil.vbs Set w3svc/AppPools/DefaultAppPool/LogEventOnRecycle 255 仍然没有运气。 我怀疑在任何情况下,我没有find正确的元数据库属性设置或启用。 有谁知道我应该启用应用程序池空闲超时logging?
我以为我的需求很简单,但我找不到解决scheme… 我怎样才能使ASP经典错误出现在Windows事件日志? 我需要Windows-server-2000和Windows-Server-2003。 问候,弗雷德里克
我试图让新日志在事件查看器中的“应用程序和服务日志”节点下显示为一个节点,而我刚刚在此处了解到,Powershell cmdlet New-EventLog将创build一个新的事件日志。 我运行了这个cmdlet,运行没有错误,所以看起来很有效。 但是,即使右键单击/刷新“应用程序和服务日志”文件夹,我也没有看到新的事件日志。 是否有另一个步骤使这个出现? 我的目标是使我们的自定义应用程序能够写入应用程序和服务日志下的应用程序特定事件日志,以便于监控。
基本运行是我不知道我在做什么,我删除了一个CA我站了起来,但我无法正常工作。 我知道愚蠢。 但是现在说的不多,我现在可以做。 我经历了尝试从AD和DC中删除它的所有部分,但“DCOM无法使用任何已configuration的协议与计算机SUBCA.xxxxxxx.org通信”。 每小时发生一次错误。 有人曾经说过把它从DNS中拿出来,所以我进去把它从那里移走。 他们继续前进。 我是新鲜的想法。 这是一个2008 R2服务器虚拟环境。 这就是为什么它很容易删除和混乱的一切。 除了混淆我的事件日志,似乎没有任何问题。 如果任何人有任何build议,或者你有想法让我知道谢谢!