大家! 我的任务是用我们从文件服务器pipe理事件日志的方式解决问题。 目前,我们有一个脚本,每周一次将所有安全条目导出到备份文件夹。 好吧,我几天前检查了这些日志,注意到很多条目都丢失了。 事实certificate,有那么多的事件,我们的128mb的限制会很快填补,覆盖最旧的条目。 我们总是有平均13万条目。 经过进一步调查,我发现了一些事情: 这些条目中的大部分甚至没有相关性。 我们想要的是主要从单个驱动器(d :)logging文件创build,访问和删除。 对于服务器的其余部分进行文件审计也是可取的,因为在某些情况下这将是有用的。 不是我们主要关心的。 这些“不受欢迎的”条目大多是这样的 :有关Arcserve代理检查随机文件的条目。 我在互联网上的某处发现了下面的命令,如果它真的揭示了我的想法,那么96k的日志(或者将近75%)就是这个应用程序的结果。 get-eventlog security -Message "*caagstart*" 我发现这个GPO在这个特定的服务器上应用审计参数。 不过,我认为这样做并不会使每一个文件都被审计 – 我希望能够find任何审计logging(或称SACL,正如我所认为的那样),以确定哪些文件夹应该被审计。 找不到任何东西。 我读了icacls会告诉我哪些文件夹目前正在审计,但我不知道如何使其工作。 我想我可以创build一些脚本来每天删除这些与Arcserve相关的日志,但是这个解决scheme似乎并不是一个好的解决scheme。 我也可以设置某种日志服务器来收集和处理这些事件,但是这似乎也是一个很大的问题 – 我们只需要检查是否需要创build,修改或删除文件。 提高最大文件数量是另一个不太合适的解决scheme。 有什么办法可以阻止这个应用程序生成日志条目? 有人build议我可以做什么吗? 哦,顺便说一句:这是一个WS2012R2服务器。
我正在寻找一些方法,使我的Windows Small Business Server 2011机器可以自动创build系统事件,只要在特定目录中有10 GB或更大的新创build的文件。 看起来理想的工具是文件系统资源pipe理器,但是我只能为总目录设置硬/软配额,而不是单独创build新文件。 文件屏幕似乎也没有办法。 我如何用我拥有的工具来实现我的目标?
我正在使用此查询来检查我的Windows 2008 R2 AD主要上的某些Exchange帐户更改: wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1 我正在创build一个batch file,以便通过电子邮件将事件的内容作为附件发送到Task Scheduler,如本文所述: http : //blogs.technet.com/b/jhoward/archive/2010/ 6月16日/获取事件日志-内容-通过电子邮件,上一个事件日志,trigger.aspx 问题:我可以做一天一天的wevtutil qe System ,但是如果我做了像我需要的wevtutil qe Security ,我需要在提升的命令提示符(相同的域pipe理员用户凭证,只是CMD作为pipe理员运行)。 因此,当我的计划任务调用batch file时,即使任务的SYSTEM帐户下的选项设置为“以最高权限运行”,它也无法在提升提示下运行,这意味着运行时出现错误:“无法打开事件查询,访问被拒绝。“ 所以这些东西都可以解决我的问题: 打开安全日志就像系统日志不知何故,你不需要提升提示使用wevtutil访问其内容 以某种方式在提升的提示中运行计划任务操作 我还没有想到的第三件事
我有一台服务器2008 R2服务器充当其他两台服务器的收集器。 一个是2008 R2,另一个是2012 R2。 收集器启动转发工作正常,这是我所实现的唯一的types。 我决定在Source Initiated上去,而且还没解决。 我已经通过TechNet上的“ configuration计算机以转发和收集事件 ”(以及链接的相关文章)对其进行configuration。 我可以看到货运公司本身的健康状况,但是“源计算机”专栏仍然是空白的,而且wcutil gs报告也一样:健康的货代,没有消息来源。 组策略肯定是应用到源服务器(gpresult显示它),并将它们发送到http://, 我敢肯定是错误的 ,因为已经有一个单独的网站在收集器上回答端口80.我试过WinRM默认端口(例如,我将GPO中的值设置为Server=http://server.foo.com:5985 ,但是这也不起作用)。 我已确保收集器的计算机帐户位于每个源服务器的Administrators组中,并且我已重新启动每个源服务器以获得更好的效果。 我认为值得重申的是它与收集器发起的转发工作 ,所以winrm qc做了它的工作,什么都没有。 其他的东西显然不见了,但是什么? 编辑:我应该提到我也已经在每个源计算机上的networking服务帐户添加到各自的计算机的事件日志读者组,作为另一个职位在这个问题上build议。
我们遇到了一个Web服务的问题,我们认为这会导致应用程序池自身重新启动,但事件日志中没有看到消息。 这提出了我们的假设是否正确的问题。 所以两个问题真的… 我们是否应该在与IIS相关的事件日志中看到某种types的消息? 即使是“嘿,我开始了,一切都很棒!” 因为我们不是。 我们在事件日志中看到0条与IIS相关的消息。 如果我们应该看到一条消息,我们可以做些什么来开始看消息?
想象一下一些带有各种脚本的Linux系统(主要是PERL,但它可能是写入STDERR的任何东西),它们由不同用户运行几百次,需求稍有不同。 日志保存在输出中,每个脚本的警告/错误(stderr)都会运行。 这意味着1000个日志正在积累。 用户犯错误。 而开发人员并不总是写干净的代码等 我们希望从日志中看出发生了什么事情,在每种情况下(以编程方式)以及(在行政上,分析上)理解随着时间的推移趋势。 这个问题也可以考虑在一个web服务器/ cgi的情况下,因为这往往会产生100s的脚本运行,但我不寻找特殊的解决scheme访问/错误日志。 一般而言,通常存在哪些免费/开源软件工具来识别和分析来自这样的日志集合的exception输出,其中每个日志代表一个过程的一个运行? 有用的function可能包括: 可以比较此运行的stdout / stderr与历史输出,并确定标准输出或stderr的哪些部分不常见或值得注意 可以通过以纯文本存储所有日志来实现“压缩”,无需存储100次或更多的相同错误 可以分析整个商店的趋势(这个消息比以前显示的更less或更多)以及计数(最常见的错误是这些) 有一个可浏览的graphics和数据输出types的用户界面 例如,可以从stderr中获取所有日志,并将它们通过sort和uniq -c运行,然后重新sorting,以便从最不频繁到最常见的错误string列表。 也可以开始将日志转储到某种SQL数据库中。 这可能会成为一个工具的基石,但也许有完整的软件包,已经做了这些,更多。 所以我想我会问看看其他人使用什么。 你们是否为这类事情开发内部工具?还是有很好的开源替代品?
我正在寻找有关如何通过使用脚本保存和清除多个服务器上的事件日志的想法。 曾经有一个称为“Eventlog.pl”的Windows Server 2000工具,可以远程保存和清除事件日志。 我没有发现任何在Windows Server 2003中做的事,除非我遗漏了一些明显的东西。 我还能怎么办呢? 我在Windows Server 2003上有一个域。
我在Windows Server 2008 R2服务器上发生了一些奇怪的事情。 正好每天晚上9点,在事件查看器中注册审计失败,说明一个帐户由于“未知的用户名或错误的密码”而无法login。 奇怪的部分是帐户名称是一个161个字符的string,以@@开头,其余的是一个看似随机的string。 这个名字每天都是一样的。 这似乎是来自服务器本地。 logintypes是4,调用者进程是svchost,并且在详细authentication信息下,login进程是Advapi,并且authentication包是协商的。 任何想法可能来自哪里? 我还没有提供任何其他相关信息?
我inheritance了Novell Netware 6.5服务器进行pipe理。 我们有一些用户将文件夹移动到他们不应该能够做到的其他文件夹中。 此外,有些情况下,查看用户最后一次login到目录的日志(如果它们当前处于活动状态)的日志会很好。我很好奇日志文件通常位于Novell Netware 6.5服务器中的哪个位置? 有没有什么特别需要访问它们? 在现在需要logging的项目没有被logging的情况下,如何启用额外的logging? 我知道Netware 6.5是旧的产品线; 然而,这是我暂时坚持的。 预先感谢。
上周我们的应用程序日志似乎是腐败的。 事件查看器说,日志是20MB,并有18,446,744,073,709,550,735(每个0.000000000008674位)logging(这不可能是真实的),并且mmc会崩溃,每当我们试图查看日志。 我们清除了应用程序日志,它似乎是日志logging数据,因为当我们转到Windows日志部分的mmc ,它说应用程序日志有1,985个事件(在3MB),但是当我们实际上点击日志打开它时,它说零事件。 我已经确定所有的过滤都closures了。 有任何想法吗? 编辑:问题似乎不是一个孤立的事件。 请参阅应用程序事件日志不断被损坏 。