我的Windows Server 2003计算机的事件查看器充斥着来自外国IP地址的这些540次login尝试。 它看起来像有人试图访问我的机器 – 这可能是什么样的login尝试? 除了用硬件防火墙阻止子网之外,还有什么可以做的吗? Successful Network Logon: User Name: Domain: Logon ID: (0x0,0xAFB92F) Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: MATE-5BAD844B02 Logon GUID: – Caller User Name: – Caller Domain: – Caller Logon ID: – Caller Process ID: – Transited Services: – Source Network Address: 84.2.197.145 Source Port: […]
我有一个奇怪的问题推断正确的语法来“过滤= in”两个事件types,警告和错误。 我正在使用的线如下所示: CheckEventLog -a truncate=1023 MaxWarn=1 MaxCrit=1 file='DFS Replication' filter=in "filter.eventSource='DFS Replication'" "filter.eventSource='DFSR'" "filter.eventType==error" "filter.eventType==warning" "filter+generated=\<5m" descriptions unique syntax='%message%' “filter = in”表示“包含”条件中列出的所有filter; 而“filter=出”意味着排除条件中列出的所有filter。 “filter * X”的语法意思是: '' 可选(如逻辑OR) 需要“+”(如逻辑与) ' – '不需要(如逻辑或不) 这些信息是从文档中收集的 。 奇怪的是,对我来说,上面的语法意味着:要求列出的filter('filter = in')来自事件源“DFS复制”或“DFSR”,包括发生的所有警告或错误types事件比5分钟前。 但是,上面的语法从列出的事件源(虽然我没有certificate它们是事件源(事件源)而不是事件日志('文件)中的所有事件源)返回所有事件types(包括错误,警告,信息) =')),发生不到5分钟前]。 是否有人熟悉如何在NSClient ++ v0.3.9的CheckEventLog命令中包含两个不同的eventType筛选器?
我每3分钟使用一次cron任务,结果logging在我的cron.log中。 还执行(wget)某些PHP文件后,它的名称(与0字节文件大小)被复制到根,spaming它 – 看到图 如何防止cron在Debian上填充我的根分区? 这里是垃圾邮件屏幕 – 我的cron任务是/usr/bin/wget http://mydomain.com/myphpscript.php >/dev/null 2>&1
我有一台运行Windows Server 2008的服务器。 我正在使用Windows服务器审计来检查何时以及由哪个用户修改文件夹,以确定谁修改它,因为修改导致问题。 在系统日志中进行更改时,我可以看到审计的日志。 如何创build自定义视图,该视图将返回系统日志中存在特定文本(即文件夹名称)的所有事件? 创build自定义视图似乎没有这个选项。 我不知道是否有可能通过自定义xml查询或是否需要将系统日志导出到csv并在Excel中search。
我正在尝试为服务器上的磁盘空间不足情况设置警报(Windows Server 2008 R2 Enterprise,SP1)。 要做到这一点,我想通过任务计划程序触发一个电子邮件,只要在系统事件日志中logging事件ID 2013。 问题是,事件ID 2013似乎并没有发生。 LowDiskSpaceMinimum和DiskSpaceThresholdregistry项不存在,据我的理解,这意味着事件2013发生时,任何分区的磁盘空间下降到10%以下。 我试图在现在的三台服务器上,在系统驱动器(C :)或数据驱动器(E :)上触发此事件。 我有三个理论: 2008 R2的默认阈值远远低于10%(但是由于在testing中我使这些驱动器有多满,它必须非常低) 系统只会很less检查磁盘空间,而我只是不够长 还有一件事是阻止这个事件被logging,我没有考虑 如果有人能给我任何build议,我将不胜感激。
每当组策略首选项在Window XP上以90分钟的时间间隔进行自动更新时。 有没有在Windows XP中生成任何事件ID? 请以“是”或“否”回答 如果是,那么Windows XP中的事件ID号是什么? PS-我find了关于这个GPP的相关问题,但不是确切的答案,所以想到再次问你们所有人。 对不起,不方便。
我目前正在使用Windows 2008,并希望在Windows事件日志(应用程序,安全,系统日志)中查看单个事件的大小。 我试过右键单击并在适用的情况下select“添加/删除列”,但没有任何事件的大小。 那么有没有办法查看事件大小? 我可能错过了一些东西,但googlging无济于事!
我正在运行AppLocker,并希望使用XPath在事件查看器中logging事件中的一些噪音。 具体来说,我想隐藏任何与CMD.exe相关的事件 这是一个我想摆脱的示例条目: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-AppLocker" Guid="{CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}" /> <EventID>8003</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2014-05-29T05:47:09.625405200Z" /> <EventRecordID>257765</EventRecordID> <Correlation /> <Execution ProcessID="1108" ThreadID="2652" /> <Channel>Microsoft-Windows-AppLocker/EXE and DLL</Channel> <Computer>COMPUTERNAME.DOMAIN</Computer> <Security UserID="S-1-5-21-123456789-123456789-123456789-123456" /> </System> <UserData> <RuleAndFileData xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="http://schemas.microsoft.com/schemas/event/Microsoft.Windows/1.0.0.0"> <PolicyName>EXE</PolicyName> <RuleId>{00000000-0000-0000-0000-000000000000}</RuleId> <RuleName>-</RuleName> <RuleSddl>-</RuleSddl> <TargetUser>S-1-5-21-123456789-123456789-123456789-123456</TargetUser> <TargetProcessId>3224</TargetProcessId> <FilePath>%SYSTEM32%\CMD.EXE</FilePath> <FileHash>5F98965FF2650B89586176B38F007CA13A9E525E877DDCCBCDCE0A90408672D5</FileHash> <Fqbn>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\CMD.EXE\6.1.7601.17514</Fqbn> </RuleAndFileData> […]
我刚刚尝试移动SQL Server 2008 R2日志的日志位置,因为我有一个相当小的系统磁盘,由于Winsxs文件夹的大规模大小,现在我在日志中收到以下错误: initerrlog:无法打开错误日志文件“D:\ SQL错误日志”。 操作系统错误= 5(访问被拒绝。)。 我已经确保SQL服务正在运行的帐户在新目标的ACL中已完全控制。 我现在已经把它改回原来的位置,服务仍然不会启动,报告相同的错误。 我试过删除日志,看看是否有帮助,但无济于事。 任何人见过这个?
在Windows Server 2012计算机上,在事件查看器中,系统上出现了一些不寻常的行为,服务正在停止,我不确定自己是“自行停止”还是被用户操作强制停止。 所以我去了Windows logs | Security eventvwr.msc Windows logs | Security区域,我没有看到任何普通用户的login,但是我看到一个重复以下types的模式: Log Name: Security Source: Microsoft-Windows-Security-Auditing Task Category: Logon Level: Information Keywords: Audit Success User: N/A Description: An account was successfully logged on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Impersonation Level: Impersonation New […]