我最近不得不重build一个域控制器[DC02]由于AD数据库被损坏,不可修复。 此外,由于硬盘驱动器故障,此服务器的RAID [RAID 1]降级。 我不得不在DC02上重新安装操作系统,因为DC01必须抓住DC02上的angular色。 我也清理了DC01的元数据。 长话短说….促进DC02成为一个域控制器后,一切正常。 这是奇怪的行为开始的地方。 一旦电脑重新启动,它将复制并正常连接DC01,但大约10分钟后,它将断开与networking,它已经消失。 你不能ping它或任何东西。 我跑了所有的dcdiagtesting,repadmintesting等…没有任何指向我的原因。 经过一个多星期的排除故障后,我发现是Dell Openmanage [OM]的罪魁祸首,会在退化的RAID中引发一个事件(在10分钟内),并将服务器从networking上断开。 当我卸载戴尔OM时,一切正常,没有中断。 我试图编辑Openmanage工具中的[alert]设置,但似乎没有改变行为…服务器在10分钟后总是断开连接。 在服务器断开networking连接之前,您可以看到事件被触发。 有没有人见过这个? 有没有解决办法可以让我在RAID降级的同时使用OM? RAID硬盘最终会被更换,但是因为我在一个政府承包商项目上工作,可能需要几周甚至几个月才能获得替代硬盘,即使是DC02上的一个硬盘,我也想要额外的冗余层。 我想使用Openmanage,因为监视服务器硬件状态,日志和警报很方便。 虽然我已经find了原因,我想发布这个情况下,任何人遇到这个,不能弄明白。 我很难在网上寻找线索或为我的问题解决scheme,但没有成功。 我发现的大部分信息都围绕DNS问题等 我现在正在检查组策略,看看是否有什么东西触发了这种行为[注:这个服务器最初是由其他人设置的,你猜对了,不再可用。] [更新:在组策略中找不到任何东西这似乎触发了这一点]。
我已经做了一个PowerShell脚本,如下所示,但因为我将无法保存在.evtx格式。 我想要的wevtutil等效(使用wevtutil epl)的相同。请帮助! $ErrorTime=Get-WinEvent -FilterHashtable @{ Logname = 'Application' ID = 1000 ProviderName = 'Application Error' } -MaxEvents 1 | select Select-Object -Expand TimeCreated $Start_Time = ($ErrorTime).addhours(-2) $End_Time = ($ErrorTime).addhours(2) Get-WinEvent -FilterHashtable @{ Logname='Application','System','Security' 'Setup' StartTime=$Start_Time EndTime =$End_Time} 只是想告诉脚本在做什么。 它正在获取最后发生的应用程序错误1000的时间戳,对该时间戳添加和减去两个小时,然后查询这些时间之间的应用程序系统安全性和设置。 我需要这样的东西 wevtutil epl应用程序所在的时间> = $ Start_Time和时间<= $ End_Time 请帮忙。
我一直在争取让事件日志订阅在我的服务器2012 R2域控制器上工作。 我已经使用GUI创build了collector-initiated-subscription,并尽可能select默认值。 我select了我想要的事件,并尝试使用机器帐户和几个域pipe理员帐户。 起初,我在运行状态中遇到拒绝访问错误,但经过大量的研究,我将用户帐户和计算机帐户添加到AD Builtin组“事件日志读取器”中。 然后GPUPDATE /强制,重新启动Winrm,现在我得到代码(0x138C)。 研究这个错误几乎指向了WinRM的问题,但是我已经在两台计算机上validation了WINRM的function。 总结: 使用计算机帐户和域pipe理员帐户创build订阅。 已validation的WINRM正在运行向“事件日志读取器”组添加了计算机帐户和用户帐户。 Gpupdate,重新启动服务,我仍然得到: Error – Last retry time: 3/10/2016 1:17:37 PM. Code (0x138C): <f:ProviderFault provider="Event Forwarding Plugin" path="C:\Windows\system32\wevtfwd.dll" xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault"><t:ProviderError xmlns:t="http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog">Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make […]
我的networking的两个域控制器的安全日志被安全事件id 4624和4634以及更小程度的4672洪泛。从互联网上读取这样的行为是相当普遍的,并不一定意味着潜在的问题/问题。 然而,这样的洪水破坏了一个日志的用处:太多的信息,没有信息。 我想对Windows Server说:不要将事件ID 4624和4634写入安全日志,而是将其写入新的日志文件,仅用于这些事件。 这样我就不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。 这可能吗? 这是可取的吗? 谢谢, 迭戈
我有大量的2k12 r2服务器,我希望每30天保留一次Eventlogs的存档。 我正在寻找一个集中的解决scheme,可能是一个GPO。 但是从我所看到的情况来看,只有使用组策略才能通过文件大小对日志进行存档,或者将其保留一定的时间。 有没有办法将两者结合起来以得到我想要的,还是我最好使用wevtutil来编写脚本?
系统“扫描仪”用户保持locking,并在事件查看器有空白的地方来源。 在某些情况下,有一个IP地址,指向不同的打印机或扫描仪,但我重新进入密码,相同的IP地址出现在日志中,密码尝试不正确。 尝试了4740事件(从来没有一个来源),4625(有些情况下,但大多数没有来源)loking如何find问题的根源?
我有一个Server 2012R2域控制器(我们称之为DC01和DC02)。 我还有一台服务器2012R2成员服务器(我们将其称为COLLECTOR),我将用它来收集来自各种服务器的某些事件日志。 我已经设置了事件日志收集,并且能够成功地为来自多个服务器的“应用程序”,“系统”等日志设置订阅。 我的问题是,我想从域控制器上的“目录服务”日志收集事件。 但是,当我在COLLECTOR上设置新的订阅时,在“查询筛选器”下,我没有“目录服务”日志作为选项,因为COLLECTOR没有安装AD DSangular色,因此没有日志如“目录服务”)与域控制器相关联。 任何想法如何从成员服务器事件收集器收集来自特定Active Directory日志的事件?
TL / DR:在安装了源代码的系统上工作的日志,但显示的信息没有被wevtutil al归档。 当试图读取没有安装源代码的系统上的消息时,我得到“无法find来自源的事件ID的描述,或者引发这个事件的组件没有安装…”。 我的大部分消息来源的消息都被正确存档,但其中2个消息不是。 Full desc:我试图更新一些公司的支持脚本,以便我们的产品不需要安装,以便读取我们在事件日志中生成的消息。 这需要运行wevtutil epl,然后wevtutil al返回,并生成一个evtx文件和一个特定于语言环境的MTA文件。 这适用于我们的活动来源/产品4,但不适用于其中2。 我不明白为什么。 日志在安装了这些源的系统上正常工作,并且它们都在HKLM \ SYSTEM \ CurrentControlSet \ Services \ EventLog \ Application \\ EventMessageFile下具有正确的条目。 我已经重新启动了生成日志的机器,以及没有安装我正在testing存档的源代码的机器。 这并没有解决问题。 我也用wevtutil ep检查了发布者列表,而且看起来很好。
我正在尝试在Windows 2012 R2收集器服务器上设置Windows事件转发。 我正在寻找从Windows Defender收集事件,Windows Defender默认在Windows 7和8客户端上。 我知道Microsoft在2012 R2上不支持Windows Defender。 我只是想从支持的客户端收集订阅事件。 当我查看应用程序和服务日志时,无法在收集器服务器上findWindows Defender应用程序(因为我认为该function未安装,因此无法在此处列出)。 path应该如下: 应用程序和服务日志/ Microsoft / Windows / Windows Defender / Operational, 就像在这个technet文章中描述的那样: https ://answers.microsoft.com/zh-CN/protect/forum/protect_defender-protect_start/access-scan-logs/1066927e-35c8-4e66-ae3b-ca542776312c 也许有人知道我可以如何收集这些日志? 或者我应该创build一个PS脚本,将所需的日志移动到另一个位置,如安全日志,以便我的2012R2服务器可以收集事件?
除了我想从中收集事件(使用GPO,SCCM等)的服务器上的日志收集器代理程序的部署开销之外,使用Windows事件转发给我的SIEM还有什么好处?