有人可以请让我知道有没有任何问题,这个错误可能会导致如果我们不应用任何修复。 请告诉我。 谢谢!
我是Windows Vista Professional的普通用户。 当我的电脑关机时,如何检查以前的date和时间?
正如标题所暗示的,我试图关注RDP连接/断开连接到几台机器。 一个运行Windows XP,一个运行Windows 7。 我已经检查了Windows XP机器上的事件日志,在那里没有提到任何事情。 它只是一个Windows 2003服务器function?
我绝不是一个XML专家。 Ergo,我无法从wevtutil将Windows事件XML导入到SQL数据库中。 在Server 2008之前,我们使用Log Parser 2.2直接将事件日志数据导出到数据库,但是logparser尚未升级以正常处理Server 2008事件日志。 这是我知道如何处理: <Field1>text</Field1> <Field2>text</Field2> <Field3>text</Field3> <Field4>text</Field4> 以下是wevtutil在将事件日志导出到XML时创build的有些不同的格式: <Field1>text</Field1> <Field2>text</Field2> <EventData> <Data Name='Field3'>text</Data> <Data Name='Field4'>text</Data> </EventData> 有没有一种相对直接的方式将这些东西导入到数据库中,将<Data Name ='Field3'>映射到[Field3]等等? 如果我真的需要重新发明轮子,我可以编写一个VB脚本(或其他)来一次parsing一行数据,并一次插入数据库。 不过,我宁愿站在巨人的肩膀上。 任何build议,而不是检查我的问题混合隐喻? (注意:这将是一个重复的过程,所以它不能要求使用GUI的工具。)
我想审计到Windows 2003 Server的远程连接尝试。 我已经改变了组策略,以显示login成功和失败: >gpedit.msc Local Computer Policy Computer Configuration Windows Settings Security Settings Local Policies Audit Policy Audit logon events: Success, Failure 而现在日志充满了失败事件,如: Logon Failure: Reason: Unknown user name or bad password User Name: server … Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate … Source Network Address: 82.114.195.29 虽然login失败事件确实很有趣,但我更感兴趣的是login成功事件 – 我想看看是否有人进来。这意味着它不是所有的login成功事件,我只是从外国networking。 我想筛选Windows安全事件日志以显示: […]
在Windows Server 2003中,当logintypes为10(远程login)的事件529(login失败)发生时,源networkingIP地址被logging在事件日志中。 在Windows XP机器上,这个(和一些其他细节)被省略。 如果一个僵尸程序试图对RDP进行暴力破解(我的一些XP机器是(并且需要)公开IP地址的话),我看不到原始IP地址,所以我不知道该怎么阻止脚本我跑几分钟)。 DClogin尝试到客户端xp计算机时不会logging此详细信息,并且DC仅被要求validation凭据。 在日志中得到这个细节的任何帮助将不胜感激。
我有一台Windows 2k8机器,在大约20分钟的时间内生成了近4万个WinEventLog:System事件。 这些事件由事件代码的细分大约是: 4373 46% 4371 46% 4383 7% 4372 1% 微软Windows服务似乎疯狂了很短的时间….看着更新,改变更新的状态等。这可能是什么原因造成的? 更新: 许多事件似乎是成对的: Windows服务启动了将包KBfoobar状态从“已安装”(已安装)更改为“已安装”(已安装) 和 Windows服务成功将包KBfoobar状态设置为已安装(已安装)
在我的Windows Server 2008 R2企业安全事件日志中,所有条目对于“用户:”字段都有“不适用”。 有什么我可以做,以填补这个领域? 我注意到这个信息被logging在日志条目的消息中; 我只想在“用户”字段中看到这些信息,以便日志更容易parsing。 编辑 : 我想看到与用户login和注销相关的事件(因此事件ID 4624和4634,4647)填充“用户:”字段。
我有一台在Windows 2003 R2服务器上安装了SQL Server 2008 Standard的计算机。 定期(大约每小时一次),我连续多次获得事件ID 17890。 一个例子: 工作集(KB):10652,提交(KB):628428,内存使用情况:内存使用情况: 1 %%。 工作集(KB):169780,已提交(KB):546124,内存利用率: 31 %%“。 (KB):245068,已提交(KB):546124,内存使用情况:已安装的服务器进程内存的一个重要部分已经被分页出来,这可能会导致性能下降。 44 %%“。 这种模式在7:26 – 7:37,8:26 – 8:36,9:24 – 9:35重复,同样增加了工作集和记忆的使用模式。 我目前没有任何(已知的)后台任务正在运行。 备份在2:00运行 从晚上11点开始,直到早晨4点恢复正常,一直持续10分钟的间歇性故障。 由于这台服务器有足够的内存(提交费已经达到4,194,012个实体的2,871,564个),所以我在阅读了几个项目之后禁用了分页文件。我search了Google,但没有发现其中的任何一个正在改变这种情况。 我logging的这种模式是在删除分页文件后,所以我甚至不知道我们在哪里分页SQL过程可能会。 我也改变了SQL进程内存至less有500MB和最大2GB的内存(因为这是一个轻型数据库服务器只服务于一个小型的工作组)。 有没有人遇到过这个? 禁用页面文件之前,这个错误会导致5分钟的磁盘抖动,禁止访问数据库,文件,IIS网站等。 由于禁用页面文件,它只是logging奇怪的事情,但我没有看到性能下降至less。 欢迎大家提出意见。
我试图找出为什么Windows 2008服务器无法访问RDP和访问Web应用程序。 服务器已closures,然后打开。 查看事件日志,当它离线时,我找不到任何东西。 看看misc应用程序日志,系统在离线后正常运行。 不得不说,由于错误的防火墙被closures了,所以很多尝试用sa用户访问SQL Server以及RDPlogin。 但是这些尝试已经持续了好几天,所以没有什么新的。 除了事件日志,还有其他地方我可以去检查这个事件的原因吗? 我也怀疑在事件日志中是否会出现DOS攻击或类似的攻击。 从运行在此服务器上的备份应用程序的日志中,我可以看到在服务器脱机后尝试访问远程IP,但没有连接。