我们有承包商定期远程进入我们的生产服务器,善良知道他们可能做出什么样的改变。 那么,当用户login或退出服务器时,我可以使用什么来login? Windows Server 2003 AD域
我试图通过Windows事件日志search任何事件数据包含stringTCP提供程序,错误:0作为一个较长的错误消息的一部分。 为此,我创build了下面的代码: <QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*[System[Provider[@Name='MyDemo' or @Name='AnotherDemo'] and (Level=2 or Level=3)]][EventData[Data[contains(.,'TCP Provider, error: 0')]]]</Select> </Query> </QueryList> 然而,这被视为一个无效的查询 – 我猜包含语句不被识别(因为它看起来像一个特殊版本的XPath语法正在使用这里。有谁知道我是否尝试可能/如何去做这个? 提前致谢, JB
我们收集了大约100个Windows 2003和Windows 2008 R2域控制器,我想从中开始捕获事件日志数据。 许多服务器非常繁忙,会产生大量事件,特别是我们也想捕获的安全事件。 我们目前正在使用企业/昂贵的监控解决scheme,我们对系统正常运行时间和性能统计非常满意,但是事件日志监控组件并不是那么好。 如果可能的话,我希望能为此目的快速find一些东西。
每当ASP.NET向应用程序日志报告危险的查询string值,并且请求包含特定的字符组合; 事件查看器不会显示错误信息,只显示1或2个特殊字符。 点击“详细信息”选项卡可正确显示所有错误信息。 An example of a ASP.NET request that causes the behavior: http://localhost/default.aspx?modpagespeed=off%22%3E%3Cstyle%3E%3C/style%3E%3Cdiv%20style=%22display:block%22%3Eplease%20click%20%3Ca%20href=%22http://localhost/?modpagespeed=off 我在这里张贴的行为是从ASP.NET预计的; 但是我应该关心事件查看器常规选项卡上的显示错误? 这在我们的testing环境中是可重现的。 另外,每次打开事件时显示的特殊字符都不相同。
用户帐户密码过期时是否生成任何事件ID? 我希望写一个脚本,通过事件触发? 我曾环顾四周,但没有发现任何与密码到期有关的事情 – 只发现与帐户到期有关。
有谁知道最好的方式来loggingIIS回收发生时当前正在运行的所有工作进程请求。 如果您转到IIS>工作进程>select应用程序池>查看当前请求,您将获得请求列表。 我们偶尔会回收。 如果我们能够在服务器上看到w3wp.exe的RAM快速上升,并且检查请求列表,我们经常能够查明问题的根源(该URL给我们足够的信息)。 我们有logEventOnRecycle设置logging事件,这个工程,但细节是无用的。 在一个完美的世界中,请求列表将进入事件日志的细节。 在一个更加完美的世界里,我们的团队将通过电子邮件向我们发送回收请求。 任何人都走下这条路?
注意:这是一个处理两个不同的问题,变得太冗长的以前的post的“产卵”,所以我决定清除原来的问题,并在一个单独的问题 当我尝试通过net start eventlog或通过“ Services panel启动Windows事件日志时,出现错误: C:\Users\Administrator>net start eventlog The Windows Event Log service is starting. The Windows Event Log service could not be started. A system error has occurred. System error 2 has occurred. The system cannot find the file specified. 我从这里尝试了以下build议 : 重新启动操作系统(在主机的VMWare上虚拟)。 重新检查服务菜单中的设置 – 它们就像链接中一样。 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog检查身份 – 身份是NT AUTHORITY\LocalService 给所有经过身份validation的用户完全访问C:\Windows\System32\winevt\Logs 跑了fc / […]
我们有两个运行在SQL故障转移群集中的Windows 2008 R2 SP1服务器。 其中之一,我们每30秒在安全日志中获得以下事件。 空白部分实际上是空白的。 有没有人看到类似的问题,或协助追查这些事件的原因? 没有其他事件日志显示任何相关的东西,我可以告诉。 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 10/17/2012 10:02:04 PM Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: SERVERNAME.domainname.local Description: An account failed to log on. Subject: Security ID: SYSTEM Account Name: SERVERNAME$ Account Domain: DOMAINNAME Logon ID: 0x3e7 Logon Type: 3 […]
我正在从Windows SBS 2003迁移到Server 2003 Standard。 到目前为止还好,但是我们在客户端机器上获得了1058事件: Windows无法访问GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9},CN = Policies,CN = System,DC = Edgebyte,DC = local的文件gpt.ini。 该文件必须位于<\ ourdomain.local \ sysvol \ ourdomain.local \ Policies {31B2F340-016D-11D2-945F-00C04FB984F9} \ gpt.ini>位置。 (该系统找不到指定的path。 )。 组策略处理中止。 login工作正常,但没有组策略在任何地方应用。 回顾原来的SBS框,如果进入组策略pipe理,当您尝试右键单击某个GPO并单击编辑时,您将收到“找不到文件”消息。 我怀疑这已经被打破了很长一段时间(迁移的一部分是要取代硬件,这是可疑的)。 我们不在乎保留任何组策略(反正没有那么多) – 所以我只需要知道如何从Server 2003标准中删除所有的组策略,并且重新生成sysvol中策略文件夹的内容,所以我们可以重新开始一个干净的石板。 任何接受者? 汤姆
我没有看到我的Windows Server 2003安全事件日志中的login尝试失败(我只看到成功的)。 但是,我有一个用户经常被locking,我需要尝试确定原因。 有没有可能隐藏login尝试失败的设置,或者查看这些设置的方法?