在域中安装并设置新机器之后,我们决定重命名安装了SQL Server实例的其中一台。 所以我改变了主机名,关于域的一切都很顺利,但现在,服务器每隔5分钟logging一次大约2个SQL Server错误,我无法连接到本地实例或域内的任何地方。 这是事件日志中的错误: SSPI握手失败,错误代码为0x8009030c,状态14与集成安全性build立连接; 连接已closures。 原因:AcceptSecurityContext失败。 Windows错误代码指示失败的原因。 login尝试失败[客户端:xxxx] 关于这个例子,所有的东西都被启动并且重启,没有任何额外的错误。
有没有办法改变什么操作系统login在事件日志? 例如,我看到“系统时间已经改变”事件的数字,但我不希望他们(我有时间同步每一个经常,这是完全按devise )。 我不想停止时间同步。 我想让Windows不logging它。 有没有办法在日志中select我想要的事件?
在有限帐户下运行时,本地事件日志消息显示正常,对于远程计算机,我收到此错误: The description for Event ID ( xxxxx ) in Source ( yyyyy ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support […]
在查看Windows Server 2008事件日志的同时,我总是发现许多安全事件4625 /login如下: **An account failed to log on.** Subject: Security ID: SYSTEM Account Name: Sever-Name Account Domain: WORKGROUP Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: admin (or administrator or user or any) Account Domain: Sever-Name Failure Information: Failure Reason: Unknown user name or […]
我正在使用Nagios的基本NRPE插件来被动地监视Windows Eventlog。 该插件允许将EventID例外列表作为命令参数。 所以,例如,我可以阻止EventID为1024的任何事件。 当然,这不看事件的来源。 我想知道的是两个来源使用相同的EventID的机会。 一些现场检查(searcheventid)只发现唯一性,所以这可能是一个可以接受的风险,但我希望你的想法。 你有没有遇到过使用相同的EventID的两个来源?
如果设置了邮箱限制,是否可以通过search事件日志来找出何时进行更改以及谁进行更改,是否存在可以search的特定事件ID。
我有一个帐户被locking,但这发生在我们无法取得日志或抓取日志的夜晚。 所以我喜欢做的是写一个PowerShell脚本为我采取这些日志。 我正在使用AL TOOLS。 在ALTools程序叫做LockoutStatus与这个程序他们是名为原始锁的列 我只是想知道这些信息是从哪里收集的,是来自用户还是来自用户? 我只需要原始locking信息 请看下面的截图
我有一个DFS服务器共享文件,并希望看到一个pipe理员给DFS共享中的用户读/写/完全控制。 有什么办法可以查看这个吗? 我已经在C:\Windows\Debug进行了检查,但是日志文件似乎没有显示对文件权限所做的任何更改,即使在几个小时前我已经读取了文件夹的访问权限。 谢谢。
使用nxlog“im_mseventlog”模块,我可以将所有Windows日志(应用程序,安全,系统…)日志转发到远程系统日志服务器。 但是,我无法使用nxlog将“应用程序和服务日志 – > Microsoft – > Windows – >带有高级安全日志的Windows防火墙”下的事件日志转发到系统日志服务器。 是否有任何模块来转发这些事件日志
我想追踪某些文件服务器上的文件和文件夹的创build/删除/移动等事件。 这应该只基于某些文件夹(跟踪文件夹x和别的什么)。 这是一个Windows Server环境。 这是我到目前为止所做的: 打开高级审核策略 – 审核文件系统 – 成功。 对感兴趣的文件夹启用审计 它的工作原理,但是你面对大量的无休止的日志条目,其中大部分是无用的。 我甚至只是将安全日志过滤为某些事件ID(4656,4659,4660,4663),但仍然是一团糟。 对于像4663这样的特定ID,您还需要知道触发哪个访问掩码才能使其具有某种意义。 我需要的是某种日常生成的pipe理摘要,最好是HTML。 一个应该能够看到哪些文件和文件夹被创build/删除或移动,没有别的。 看起来像这正是我正在寻找 – > 链接 。 不幸的是脚本开始运行,然后永远挂起。 无法得到它在Server 2008 R2的工作,我的Powershell技能弱,debugging这一点。 我想要监视的文件夹由<80.000个文件和<10.000个文件夹组成。 我有什么select? 你会去审计政策路线还是有更好的select? 如果我能使它与标准工具一起工作,那将是很好的。 我如何汇总和过滤日志以生成清晰且人性化的输出? TL; DR 寻找一个可怜的人SIEM生成谁创build/删除/移动特定文件共享的文件和文件夹的每日报告。 编辑 sorting一些东西,并得到脚本运行。 这很慢(大约需要20分钟才能检查〜100,000条logging),但工作正常。 所以我现在正在使用这个。 如果有人有更快或更优雅的解决scheme,我想听听。