我想监视Windows Exchange Server(Windows 2008 R2)上的事件并安装了NSclient ++,因此我可以使用Centreon Nagios来监视它。 我做了一些研究,并遇到这个问题,我发现有点帮助: 如何监视与Nagios的Windows主机? Nick Kavadias给出了一个很好的答案,但是没有提供关于如何configurationNagiosconfiguration文件的解释,以便监控服务器上的特定服务。 那么,如何在Nagios中设置服务,以便在服务器上发生Windows事件时进行检测?
我们在Windows Server 2008r2function级域上启用了AD DS安全审核。 我们使用第三方工具来提醒我们更改我们的pipe理组成员资格。 我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但是没有人通过我们的第三方工具发出警报。 我正在尝试确定在审核configuration中是否存在错误,第三方工具是否存在错误,或者如果安全组中的用户被删除,Windows不会logging安全组的“成员移除”事件。 更具体地说,我们正在寻找一个安全日志事件: “一个成员已从启用安全的[Universal | Global | Domain-Local]组中移除”。 这是在我们的应用程序中启动警报的事件。 在这种情况下,“成员”用户帐户被删除而没有明确从安全组中删除。 有logging“用户帐户被删除”的事件。 在这种情况下,我怀疑Windows不会logging“一个成员已从安全启用…组”事件,因为用户帐户被删除而不被明确地从安全组中删除。 我想证实这个假设。 如果我的假设是真的,那么我们需要调整我们的过程。 如果我的假设是错误的,并且Windows 应该logging此事件,那么我们的审计失败或configuration错误,或者应用程序失败。 GPO启用审计“账户pipe理”。 pipe理员安全组将“成功”审核事件添加到其安全属性中。 我们的域控制器上的安全日志大小为128mb。 我在DC上search了事件4733,4729和4757上的安全事件日志,但没有发现任何事件,但事件日志在我们域中的所有活动仅仅几个小时后就可以回收。 这些警报在过去的显式成员添加和成员删除事件工作,没有configuration已经改变(我知道,我是AD系统pipe理员)。 也许作为AD系统pipe理员,我应该已经知道这个问题的答案..但没有人知道一切:) 我也在TechNet上提出这个问题,但没有得到有用的回应。
在3个独立的系统中,在域控制器服务器上多次logging以下事件(每天30到4,000次,具体取决于系统): An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process […]
我们非常关心安全问题,因此如果不是完全需要或首先排除故障,我们不会授予本地pipe理员权限。 我有一个应用程序提供者需要编写Windows事件日志。 运行其服务的凭据来自通用域用户。 此通用用户已经成为“超级用户”组的成员,但我们仍然无法编写Windows事件日志。 当然,如果我授予“本地pipe理员”组的成员资格,它工作正常。 如何允许通用用户写入Windows Server 2008 R2或更新版本的Windows事件日志而不授予用户本地pipe理员权限? 使用其他系统帐户,如“SYSTEM,NETWORK或LocalService”不是一个选项; 它必须与域用户一起运行。
我目前正在对一个设置进行原型devise,在这个设置中,Windows Server 2008通过源发起的事件转发configuration为Windows XP和Windows 7客户端的中央日志logging实例。 所有的电脑都在同一个域中。 我根据这个DevCenter Articleconfiguration了所有的东西,但是由于提供的日志configurationxml的问题,我只是简单地创build了一个新的abonnement(源启动),放在“域计算机”组中,并且简单地添加了所有的事件。 生成的XML如下所示: <QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*</Select> <Select Path="Security">*</Select> <Select Path="Setup">*</Select> <Select Path="System">*</Select> </Query> </QueryList> 正如你所看到的,我想logging所有事件logging器中的所有事件。 但是,在评估日志logging服务器上的日志时,安全日志stream中的所有事件都不会转发到中央日志logging实例(例如,当尝试以另一个用户身份运行程序并input错误的密码时)。 其他日志stream如系统或应用程序完美工作。 我已经通过文章的validation部分,没有看到任何问题。 到目前为止,我只是testing了Windows 7客户端,因为Windows XP没有默认安装事件转发。 任何提示我做错了什么?
伙计们, 我正在尝试为Windows事件日志查看器创build自定义XML / Xpath筛选器,以从安全日志的视图中排除无数“SYSTEM”login。 在Technet的XML过滤博客的帮助下,我已经设法达到了这个目标: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID=4624)]] and *[EventData[Data[@Name='TargetUserSid'] and (Data!='S-1-5-18')]] </Select> </Query> </QueryList> 但是,在所有的期望中,我仍然有这样的事件(当然还有其他事件): <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-07-18T15:12:55.797049800Z" /> <EventRecordID>199135861</EventRecordID> <Correlation /> <Execution ProcessID="496" ThreadID="3028" /> <Channel>Security</Channel> <Computer>SBS.domain.local</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> […]
根据ref的logintypes10和3在Windows事件represnting logintypes10 = RemoteInteractivelogin& logintypes3 =networkinglogin 但是,当我试图通过“远程桌面连接”连接Windows机器与一个错误的用户名和密码,远程机器生成事件与logintypes3而不是10.我检查了很多机器。 但是,这仍然在发生。 你能解释为什么发生这种情况? logging另一个细节: 事件的所有细节 截图
在Windows 2008 R2企业服务器上,事件日志报告事件ID 7036“应用程序体验服务进入停止状态”,稍后它已启动。 这种情况每天大约发生一次。 基于所有的文件,我可以find这个服务(aelookupsvc.exe)它用于32位/ 64位应用程序的兼容性。 在Microsoft的兼容性数据库中查找等 有什么方法可以确定是什么促使它开始和停止? 我明白,作为一个手动服务,它会在需要的时候启动/停止,但是我需要收集什么导致它启动/停止的证据。 微软 谢谢
我有一个Windows Server 2008 R2系统,每天在Windows日志的安全部分显示数千个4625login失败错误,并且logintypes8(NetworkCleartext)。 在“源networking地址”中没有列出尝试访问系统的IP地址,所以用于阻止IP失败的脚本通常无法find它们。 这些login尝试可能来自哪些服务? 以下是其中一个例子: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d […]
我觉得这个消息很有趣,起初我以为这是一个来自MS团队过度活跃的程序员的笑话,或者是一个骗局。 然而,这个信息一天又一次出现,每天几次: NtpClient无法将手动对等设置为时间源,原因是“”上的DNSparsing错误。 NtpClient将在3473457分钟内再次尝试,然后再重新尝试一次。 错误是:请求的名称是有效的,但没有find请求types的数据。 (0x80072AFC) 来源:时间服务 事件ID:134 级别:警告 我怀疑我的时间服务器configuration不正确。 这是真的,我该如何解决? 但为什么这么奇怪的消息呢? 注意: 我在Technet上报道过 ,在这里你可以find一个解释为什么这个数字太奇怪了(因此,有两个答案也发现这个链接,并在答案中使用它))。