首先,我想大声疾呼search事件日志的难度,但我敢打赌,MS并没有听我说话。 我的问题是这样的:我试图找出事件的数据部分中具有此值(0x84e9c0d)的所有事件。 但是,查询编辑器告诉我“指定的查询无效”。 这个查询有什么问题? 我直接从https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/复制代码 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data and (Data='0x84e9c0d′)]] </Select> </Query> </QueryList>
由于我激活目录服务日志logging,我想查找有关与域添加的计算机的日志,并从域中删除/断开连接。 我一直在查看我们的“目录服务”日志,无法find任何显示此信息的日志。 当查找最近添加的计算机名称时,“查找”function也无法find任何日志。 有没有更聪明的方法来find这些日志?
我需要将w32time事件捕获到文本文件中以达到愚蠢的合规性要求。 有没有办法在Windows中?
这一个小时我得到了大约20万 帐户login失败。 主题:安全ID:SYSTEM帐户名称:TGSERVER $帐户域:WORKGROUPloginID:0x3e7 logintypes:4 帐户login失败:安全ID:NULL SID帐户名称:pipe理员帐户域:TGSERVER 失败信息:失败原因:未知的用户名或错误的密码。 状态:0xc000006d子状态:0xc0000064 进程信息:调用者进程ID:0x334调用者进程名称:C:\ Windows \ System32 \ svchost.exe networking信息:工作站名称:TGSERVER源networking地址: – 源端口: – 详细的身份validation信息:login过程:Advapi authentication软件包:协商转换的服务: – 软件包名称(仅限于NTLM): – 密钥长度:0 login请求失败时会生成此事件。 它是在尝试访问的计算机上生成的。 主题字段指示请求login的本地系统上的帐户。 这是最常见的服务,如服务器服务或本地进程,如Winlogon.exe或Services.exe。 logintypes字段表示请求的logintypes。 最常见的types是2(交互)和3(networking)。 “进程信息”字段指示系统上的哪个帐户和进程请求login。 networking信息字段指示发起远程login请求的位置。 工作站名称并不总是可用的,在某些情况下可能会留空。 身份validation信息字段提供有关此特定login请求的详细信息。 – 转换的服务表明哪些中间服务已经参与了这个login请求。 – 软件包名称指示在NTLM协议中使用哪个子协议。 – 密钥长度表示生成的会话密钥的长度。 如果没有请求会话密钥,这将是0。 在我的服务器上…我把我的pipe理员用户名改成别的东西,从那以后,我一直在处理这些消息。 我在http://technet.microsoft.com/en-us/library/cc787567(v=WS.10).aspx上发现,4表示“批处理服务器使用批处理logintypes,其中进程可能正在执行的用户没有他们的直接干预。“ 这对我来说确实没有任何亮点。 我检查了服务,他们都以本地系统或networking服务login。 没有pipe理员。 任何人有任何想法,我怎么告诉这些来自哪里? 我会认为这是一个计划,正在剔除… 提前致谢!
我需要通过将13gb的Windows日志提供给LogLogic日志聚合器来分析13gb日志。 LogLogic本质上是Linux Syslog服务器,它可以采用Syslog(Tcp / udp 514)提要或login到Windows共享并提取平面文件日志。 唯一的问题是它不能从Windows事件日志读取二进制.EVT文件。 通常情况下,我会使用套索将日志作为系统日志结束到loglogic,但是它必须从WMI读取日志,并使用日志源主机上的DLL对其进行格式化,并将其作为系统日志以LogLogic预期的格式传输。 有人知道吗: 答:是否有某种产品可以做到这一点? 要么 – B.是否有某种方法可以将套接字导入到Windows事件监视器中,或者将套接字视为实际的事件日志,然后将其作为syslog转发给loglogic设备。
我是一个开发ASP.NET应用程序的开发人员。 应用程序将日志消息写入Windows事件日志 – 一个自定义的应用程序日志只是为了这个应用程序。 但是,我无法访问testing或登台Web /应用程序服务器。 我以为一个pipe理员可以让我读取访问这个事件日志,以帮助debugging问题(目前在开发中工作的服务不在testing环境中工作,我不知道为什么),但这是对我的客户(我'顾问)政策。 我不敢问pipe理员看我的事件日志。 给开发人员读取应用程序服务器应用程序事件日志的权限有什么危害? 有没有一种不同的应用程序日志logging方法,系统pipe理员喜欢程序员使用? 当然,pipe理员不会一直在为开发者提供日志消息。
Windows Server 2008事件查看器有一个选项来Attach task to this event 。 是否有微软的解决scheme,发送一个电子邮件警报的任何错误消息,在事件查看器中标记?
在Windows中,我正在使用“Eventlog到Syslog”实用程序将事件日志发送到Linux系统日志服务器(syslog-ng)。 但是,我不能做一些日志文件,特别是在IIS日志的情况下。 为什么命名工具不可能? 我怎么能发送这些日志文件到系统日志服务器使用事件日志到系统日志工具?
我已经设置了几个域控制器,而且我设置的第一个DC需要一段时间才能启动,偶尔会在Windows事件日志中显示一条警告,我认为这可能与“准备networking连接…“的加载阶段。 注意这是Windows 2003 Server。 我已经包括在下面: 事件描述 Netdiag输出 Nltest / dsregdns输出 事件描述 dynamic注册或删除与DNS域“intranet.example.com”相关联的一个或多个DNSlogging。 失败。 其他计算机使用这些logging将此服务器定位为域控制器(如果指定的域是Active Directory域)或LDAP服务器(如果指定的域是应用程序分区)。 可能的失败原因包括: – 此计算机的networking连接的TCP / IP属性包含首选和备用DNS服务器的错误IP地址 – 指定的首选和备用DNS服务器未在运行 – 要注册的logging的主DNS服务器是未运行 – 首选DNS服务器或备用DNS服务器configuration了错误的根提示 – 父DNS区域包含对注册失败的DNSlogging具有权威性的子区域的错误委派 用户行动 修复上面指定的可能的错误configuration,并通过从命令提示符运行“nltest.exe / dsregdns”或重新启动Net Logon服务来启动注册或删除DNSlogging。 Nltest.exe在Microsoft Windows Server资源工具包CD中可用。 从netdiag输出 ……………………………. Computer Name: ExampleServer DNS Host Name: ExampleServer.intranet.example.com System info : Microsoft Windows Server 2003 R2 (Build 3790) […]
我注意到大量的电子邮件去随机.com.tw域。 我的Exchange事件每隔几秒logging一次错误。 我想知道是否有可能看到这台计算机是来自它的病毒? 有没有人有类似的经验呢? 我正在运行Small Bussiness Server 2003。 谢谢,