域控制器操作系统 – Window Server 2008 R2 请参阅附加的第一个PrintScreen(Powershell.png)。 在Powershell命令的帮助下,我正在尝试检查DC的事件日志。 请注意红色矩形彩色框。 失败原因:%% 2313“ 但同样的日志,如果我从事件查看器(第二个打印屏幕附加 – EventViewer.png)检查相同的事件ID,在这里它清楚地显示“失败的原因:未知的用户名或密码错误” 为什么与Powershell相同的事件ID显示失败的原因与一些语法和Windows的事件查看器日志,它显示正确?
我正在寻找一种方法来自动将Windows安全事件日志从多个服务器保存到一个中央位置(连接到networking和域)。 我希望能够按照每周的时间表进行操作,然后清除日志(以便下一次保存与前一次保存没有任何重叠)。 我有许多服务器需要这样做,所以手动做这些服务将是低效率和耗时的,出于某种原因,这个function在2008年仍然不在Windows Server中。 我不是一个脚本或开发人员,但我认为唯一的方法就是编写脚本并将其分配给计划任务。 我已经仔细研究过这个问题,当我尝试使用它的时候,我找不到任何有用的东西,或者是因为它缺less了一些难题,或者在W2K8中无法使用。 有人可以给我一些方向吗? 如果有任何免费(或廉价)的第三方软件,简化这一点,也将工作。 在此先感谢您的帮助。
使用WEVTUTIL.EXE导出Windows Server 2008安全事件日志,我得到一个权限问题(我有pipe理员权限): c:> wevtutil epl security test.evtx “导出日志安全失败,访问被拒绝” 我正在尝试编写一个脚本来备份和清除应用程序,安全,设置和系统事件日志。 安全日志是唯一的问题。 我如何备份和清除它? 我想知道这样做的“正确”方式,因为我不想让保安人员(审计员,法医学等)感到不安。
我一直负责configuration组策略/编写一个.NET Windows服务,当用户从任何光学介质(对可移动USB驱动器不感兴趣)打开或复制文件/文件时,这些服务将把条目添加到Windows事件日志中。 我的第一个尝试是使用C#,并获取进程列表,看看他们打开了什么文件,如果path开始与光盘驱动器号。 这不起作用,因为一些程序保持打开文件(例如Acrobat Reader)而其他程序不打开(Internet Explorer,记事本)。 我的第二个尝试是打开对象访问的审计,同时在光盘驱动器上设置文件访问安全审核,这是您不能执行的操作,因为在只读文件系统上没有安全性。 我最后一次尝试是使用可移动存储组策略的审计 ,但是没有为光学介质添加任何日志条目(我testing了一个USB笔式驱动器,并且创build了条目),另外它仅在Windows 8 +和我需要支持Windows 7。 所以,我完全没有想法,并转向这里的专家,看看你是否有任何想法来解决这个问题。
我已经将日志logging添加到Web应用程序(使用企业库框架),因此exceptionlogging在应用程序事件日志中。 我已经给这个事件有一个名为“WebApp”的来源,但是这不会被logging为来源不存在。 有没有办法手动添加新的事件源? 我已经find了一些在stackoverflow的例子,但这些需要创build自定义安装应用程序,所以在我走下这条路之前,我想知道是否有一个更简单的方法。
出于各种原因,我想在一些Windows Server 2008计算机上获得一些磁盘访问。 我可以在可靠性和性能监视器工具中设置一个用户定义的数据收集器集,以使用“Windows Kernel Trace”提供程序(“disk”子选项)创build一个事件跟踪,并且工作正常。 不过,我真的想用logman.exe命令自动化这个。 logman的文档是,我会说,稀疏。 (如果有一些很好的文档,我会非常感激一个指针!)我已经尝试使用两个命令与-ets选项和没有,并使用logman create trace <name> <params> / logman start <name>和-ets -only logman start <name> <params> -ets方法。 没有我已经尝试似乎工作: C:\>mkdir \tracedata C:\>logman create trace DiskTr1 -p "Windows Kernel Trace" disk -o "C:\tracedata\DiskTr1" The command completed successfully. C:\>logman start DiskTr1 Error: The session name provided is invalid. C:\>logman start DiskTr2 -p […]
在Windows Server 2008和Windows Server 2008 R2上,使用WMI查询已安装的软件,并将Win32_Product类事件写入到应用程序事件日志中。 这些事件纯粹是信息性的,但是每一个确定的软件都会产生一个事件。 有什么困扰我的是描述包含“Windows安装程序重新configuration产品。产品名称:…” 为什么查询会触发产品已重新configuration的通知? 我们有针对服务器运行的脚本来寻找更改,这就造成了一些问题 。 🙁 有没有人看过这个?
就像标题所说的那样。 从我简要阅读的内容来看,当用户启动CTRL-ALT-DEL或者开始>closures时,就会出现6009。 例如,如果closures序列是由SYSTEM启动的,那么这个事件是否也会被logging?
我们最近从Windows 2003服务器升级我们的生产箱到Windows 2008。 一切正常,除了事件logging。 我们为每条消息logging了最大32000字节的数据在2008服务器上,如果字符数大于31885,事件logging将失败。Windows 2008 R2服务器上的这一新限制是什么? 任何帮助赞赏。 在Win 2003服务器上,我能够为每个日志条目logging32000字节的数据。
我有Windows Server 2008 R2作为Active Directory主域控制器运行。 由于我们的域不大,我把SYSVOL和NTDS文件夹放在系统驱动器的默认位置(软件RAID 1中的SSD)。 我现在在启动时得到了34个事件警告,说“驱动程序禁用了设备\ Device \ Harddisk2 \ DR2上的写入caching”,这是我的系统驱动器。 在系统驱动器上禁用写入caching会使我的服务器处于危险之中吗? 我应该将域文件夹移动到一个单独的驱动器,所以我可以在我的系统驱动器上重新启用写入caching?