Articles of windows event log

我已经build立了一个只有一个Windows Server 2012 R2的本地域的家庭办公室，我已经允许从路由器的端口3389到我的服务器。 虽然知道这是危险的，但我设置了这种方式，以执行我已经告诉的几个审计testing。 我安装了ZoneAlarm免费版本，因此Windows防火墙被禁用。 在允许3389端口大约一个月后，我注意到事件查看器上的这个事件日志： “事件ID 1158：”远程桌面服务接受来自IP地址xxx.xxx.xxx.xxx的连接“ 由于这些IP来自多个国家，我不知道这个事件日志是否意味着这些IP实际上侵入了我的系统，或者如果这个事件日志只是提醒一个传入的连接，它可以被接受或拒绝，这取决于login成功或相应的失败。 请原谅，如果这个问题可以很容易地回答，但我找不到任何相关的答案，除了一个开放RDP默认端口的风险。

我试图访问服务器上的共享。 出现凭证框，并input正确的用户名和密码，并且拒绝访问。 愚蠢的是，我可以远程桌面到服务器（使用相同的凭据），我可以检查安全事件日志的访问被拒绝的错误： Event Type: Failure Audit Event Source: Security Event Category: Account Logon Event ID: 681 Date: 3/19/2011 Time: 11:54:39 PM User: NT AUTHORITY\SYSTEM Computer: STALWART Description: The logon to account: Administrator by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 from workstation: HARPAX failed. The error code was: 3221225578 和 Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff […]

我想知道谁在Windows Server 2008 R2上卸载特殊程序的时间，但找不到有帮助的post来描述如何去做，所以我创build了这个问题，希望有人能帮助我！

Windows正在为其日志logging文件转换为* .EVTX格式，但我们仍然拥有具有写入旧* .EVT格式版本的客户端。 如何构build这些文件有什么区别，以及如果parsing方式不同。 我遇到的问题是当我尝试打开*。 EVT文件在Windows 7中，我得到了很多无效的数据错误，但是当我转身，并在XP中打开它们，似乎工作正常。 为了充分披露，当我将日志保存在查看器之外时，以及当我尝试从windows32文件夹path直接复制文件时，我看到了相同的行为。

我正在考虑build立一个（实验）系统，这个系统取决于来自Linux机器上的“标准”ISC DHCP服务器的实时信息。 我想logging（并处理）与尝试获取地址和启动信息的PXE客户端相关的事件。 所以我会在我的日志logging中需要几个额外的属性（即GUID等）。 所以当一个系统得到一个新的租约，我希望我的软件立即知道它（只要说<5秒钟后）。 现在我有一些东西把所需的值放在/ var / log / messages中，这样我可以做一些事情： tail -f /var/log/messages | xargs processdhcpevents.sh 有更好的解决scheme吗？ 我一直在寻找一种'钩'在dhcpd处理事件“立即”，但我还没有find它。 有这样的事情吗？ 或者，我的“tail -f”解决scheme是唯一的方法吗？ Niels Basjes

我继续前进，并成功configuration了事件查询和订阅（winrm / wecutil）。 现在是否有可能将已经发生的所有日志logging到我的collections夹中？ 还是只有事件才会被logging？

我已经在Dell PowerEdge T320上运行Windows Server 2012 R2 Standard。 服务器接近一个月用作域控制器。 我注意到这个警告条目显示在应用程序日志中，因为我第一次打开它，甚至在我执行任何更改之前： 从ACPI表安装购买certificate失败。 错误代码：0xC004F057 Log Name: Application Source: Security-SPP Event ID: 1058 Level: Warning User: N/A OpCode: Info Logged: 9/11/2014 8:42AM Task Category: None Keywords: Classic Computer: (my T320's server & domain name is displayed properly) 这些警告一天出现好几次，大概一开始就是第一次启动服务器。 即使修补后，重命名计算机，并提升到域控制器，警告持续等。 在线研究表明这与Windows激活有关。 但是，我已经在服务器上运行了SLMGR（SLMGR / xpr）命令，并且显示Windows Server Standard Edition已经被永久激活（如预期的那样）。看起来我会打电话给戴尔，看看他们能做些什么… 有关如何解决这个问题的任何想法？ 谢谢。

如果Web服务器上的某个站点启动或停止，是否可以将IIS 7.5configuration为写入Windows事件日志？ 例如，当有人通过IISpipe理器用户界面启动/停止站点时。 我知道我可以为每个网站configurationApplication_On {开始，结束}来写一个自定义的消息到Windows事件日志，但我只是想知道是否有内置的东西。 我也知道如何激活应用程序池回收的日志logging，但是与启动/停止站点不同，特别是如果多个站点共享相同的应用程序池。 特别是，如果列出启动/停止站点的用户的名字将非常有帮助。 我已经尝试过的一件事是启用日志到IISconfiguration> {pipe理，操作}事件日志，但不幸的是没有什么时候会出现启动/停止。

2012 R2仅作为Hyper-V主机 昨晚这台机器开始运行非常缓慢。 我closures了虚拟机，然后closures了主机。 这也花了永远。 当我重新启动虚拟机主机，它正常运行。 当我查看虚拟主机事件时，发现这些错误发生在放缓之前。 序列显示两次。 Event ID 265, Source Win32K, A pointer device did not report a valid unit of angular measurement Event ID 257, Source Win32K, A pointer device reported a bad angular physical range Event ID 258, Source Win32K, A pointer device reported a bad angular logical range 如果有的话，我不是真的find任何解释这些错误的微软页面和需要做的事情。 当我重新启动这个服务器时，这些相同的错误再次显示两次，启动后几分钟。 […]

我创build了一个Task Scheduler事件，在Microsoft-Windows-Backup事件日志中的EventID 14上发送电子邮件给我（请注意，这是一个新的风格（Vista和更高版本）日志），导出后，包括这个问题 我已经到了我的任务触发器的XML的点： <Triggers> <EventTrigger> <Enabled>true</Enabled> <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Backup"&gt;&lt;Select Path="Microsoft-Windows-Backup"&gt;*[System[Provider[@Name='Microsoft-Windows-Backup'] and EventID=14]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription> <ValueQueries> <Value name="eventChannel">Event/System/Channel</Value> <Value name="eventExinfo">Event/EventData/Data[@Name='ComponentStatus']</Value> <Value name="eventRecordID">Event/System/EventRecordID</Value> <Value name="eventSeverity">Event/System/Level</Value> </ValueQueries> </EventTrigger> </Triggers> 不幸的是，这产生了一个错误（一个行动启动Failiure）。 非常相似： <Triggers> <EventTrigger> <Enabled>true</Enabled> <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Backup"&gt;&lt;Select Path="Microsoft-Windows-Backup"&gt;*[System[Provider[@Name='Microsoft-Windows-Backup'] and EventID=14]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription> <ValueQueries> <Value name="eventChannel">Event/System/Channel</Value> <Value name="eventExinfo">Event/EventData/Data[@Name='BackupTemplateID']</Value> <Value name="eventRecordID">Event/System/EventRecordID</Value> <Value name="eventSeverity">Event/System/Level</Value> </ValueQueries> </EventTrigger> </Triggers> 工作正常，并通过电子邮件发送“BackupTemplateID”值。 我认为这是因为“ComponentStatus”的内容本身是XML，但不是Task Scheduler模式的一部分。 有没有人知道任何方式呢？ 如果不可能的话，另一种获取数据的方法很好。 我希望这样做，因为ComponentStatus部分logging备份是否存在将Exchange备份为应用程序的问题，而事件描述仅指示备份已成功完成。