我不小心清除了一个事件日志。 有什么办法可以把它拿回来吗?
尝试在Windows 2008 R2服务器上使用自定义日志日志来存储转发事件(通过订阅)时遇到问题,自定义日志被描述为不是“有效的目标日志”。 我目前正在使用内置的事件转发和收集function(通过WS-management和wecutil)build立一个集中化Windows事件的体系结构。 我的要求之一是能够在收集器计算机上创build多个订阅,并将转发的事件存储在不同的日志文件中。 为此,我testing了创build一个自定义日志(称为CustomLog)。 此日志显示在“应用程序和服务日志”类别下的“事件查看器”中。 但是,我无法将转发的事件redirect到此CustomLog。 在事件查看器用户界面中创build订阅时,CustomLog不会显示在可能的目标列表中。 为了尝试可能的错误,我将它作为目的地的默认ForwardedEvents,我试图通过Powershell进行更改。 我运行了下面的命令,应该把目标日志设置为CustomLog: wecutil ss "Collect from both sources" /lf:CustomLog 它运行没有错误。 虽然没有事件被logging到CustomLog中,当我回到GUI来创build/修改订阅,并尝试打开我设置的订阅时,出现一个popup窗口,说明以下内容: 此计算机上的有效目标日志列表中找不到此预订中定义的目标日志。 validation此日志是否存在于计算机上,并且作为转发事件的目标是有效的。 请注意,传统日志,分析和debugging日志以及安全日志不能用作目标。 有谁知道什么是“有效的目的地日志”,以及如何将我的CustomLog变成这样一个有效的目的地?
Windows Server 2003。 有没有办法轻松地旋转事件日志(或自动清除和保存)? 我在这台机器上做了一些审计,我的安全日志变得非常快,每隔几个星期我都要记住保存并清除它。 是的,我可以依靠备份作业,并启用覆盖…但如果我可以让Windows自动保存并清除日志,当它接近容量时会更好。
我在网上search,但无法find任何信息; 为什么这个错误正在发生? 它已经充斥我的事件查看器:间隔1分钟,这个错误不断popup。 (即频率是1分钟) 我没有安装任何IIS。 该服务器纯粹是一个域控制器,没有添加其他angular色。 请build议我该怎么做? 服务器操作系统 – Window Server 2008 R2标准版。 更多细节: Log Name: System Source: Schannel Date: 6/28/2012 6:06:11 PM Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: QKSRVDC212.Corp.abc.com Description: The following fatal alert was generated: 10. The internal error state is 1203. Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> […]
我发现这个微软的KB涵盖了Windows 2008 / Vista操作系统推荐的事件日志设置最大值 ,推荐最大值为4GB,并且还看到了一些模糊的参考,至less不推荐大于4GB的事件日志2008 R2,但我想知道如果一个事件日志超过这个大小实际上会发生什么? 我已经在testing服务器(2012 R2)上超过了这一点,并没有注意到像高内存使用情况等任何东西。我们不关心在2008 R2之前的操作系统,但想要一个大日志,因为我们正在从许多机器通过收集事件Windows事件转发,并希望在一个地方所有的事件。
Server 2008的新function之一是能够将任务附加到事件日志中的特定事件。 其中一个可用的操作是通过SMTP服务器发送电子邮件。 这个工作很好,但是如果在邮件正文中可以放置事件内容,那将是理想的。 我曾尝试使用$ eventdescription和%eventdescription%,但这些只是在黑暗中拍摄。 任何数量的谷歌search都没有结果。 有谁知道这是可能的吗? 更新 :下面的Sparks的build议是我认为正确的方向迈出的一步,但是这个方法似乎并不适用于所有的值。 例如,我可以如图所示拉取RecordID,Severity和Channel,但不能使用相同的方法来检索EventID,最重要的是描述。 以下是来自一个事件的原始XML: [Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"] [System] [Provider Name="DFSR" /] [EventID Qualifiers="16384"]4412[/EventID] [Level]4[/Level] [Task]0[/Task] [Keywords]0x80000000000000[/Keywords] [TimeCreated SystemTime="2009-05-14T18:18:09.000Z" /] [EventRecordID]45692[/EventRecordID] [Channel]DFS Replication[/Channel] [Computer]servername.domain.com[/Computer] [Security /] [/System] [EventData] [Data]9046C3F4-843E-4A53-B941-4B20764072E5[/Data] [Data]D:\departments\Geomatics\Plan Quality\Data Processing\CG3533017 2009-05-13 KT FIXED[/Data] [Data]D:\departments[/Data] [Data]{26D5F604-E603-4F87-8EC3-DE9A945DA8FD}-v927199[/Data] [Data]Departments[/Data] [Data]domain.ca\files\departments[/Data] [Data]B8242CE2-F5EB-47DA-BA5B-1DD2F7EE3AB9[/Data] [Data]DFAA7A54-66CB-4C31-81A0-0F861382C32C[/Data] [Data]CG3533017 2009-05-13-{26D5F604-E603-4F87-8EC3-DE9A945DA8FD}-v927199[/Data] [/EventData] [/Event] 我曾尝试使用ValueQuery的EventData,但它没有返回任何数据。
我被要求了解用户在上个星期何时login系统。 现在,Windows中的审计日志应该包含我需要的所有信息。 我想,如果我search与特定的AD用户和logintypes2(交互式login)的事件ID 4624(login成功),它应该给我的信息,我需要,但对于我的生活我无法弄清楚如何实际过滤事件日志来获取这个信息。 是否可以在事件查看器内,或者你是否需要使用外部工具来parsing它到这个级别? 我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html这似乎是我所需要的一部分。 我修改了一下,只给了我最后7天的时间。 下面是我试过的XML。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> 它只给了我最后7天,但其余的没有工作。 任何人都可以帮助我吗? 编辑 幸运卢克的build议,我一直在进步。 下面是我目前的查询,但我将解释它不返回任何结果。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID='4624')] and System[TimeCreated[timediff(@SystemTime) <= 604800000]] and EventData[Data[@Name='TargetUserName']='john.doe'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> 正如我所提到的,它没有返回任何结果,所以我一直在搞这个。 我可以得到它正确地产生结果,直到我在LogonType行中添加。 之后,它不会返回结果。 任何想法,为什么这可能是? 编辑2 我更新LogonType行到以下内容: […]
如何远程监控Windows事件日志,以便在发生特定事件时自动通知我? 有很多主动的监控解决scheme,但需要人们的关注或不断的投票。 我需要一个被动的解决scheme,当一个特定的事件发生时,它只会产生一个通知
我需要一个第三方工具吗?
我刚刚部署了一个更新到现有的ASP.NET MVC3网站(它已经configuration),我得到了死亡的IIS蓝屏 HTTP错误500.0 – 内部服务器错误 页面无法显示,因为发生了内部服务器错误。 然而; 应用程序事件日志中没有任何内容显示,我期望看到该条目的(更多)详细描述。 我怎么去诊断这个问题呢?