我在SuperUser中问这个问题没有太多的运气,所以我在这里贴出来看是否有人可以帮忙。
我们有一个中央系统日志服务器,我们希望它从Windows主机捕获事件日志事件。 我们特别感兴趣的是logging服务启动/停止事件。 我们在这些Windows主机上安装了“Eventlog to Syslog”,并且与XP主机一起运行良好(事件来自Service Control Manager)。 但是,我们遇到了Win2k主机的问题。 出于某种原因,服务启动/停止事件不logging在Win2k主机的事件日志中。 我从另一家公司得到了另一个朋友在Win2k主机上testing,他确实得到了启动/停止事件。 我已经search了我需要启用的本地审计策略,但没有太多的运气。 有人有主意吗?
提前致谢。
尝试与syslogAgent( http://syslogserver.com/syslogagent.html )不需要任何特殊的configuration(我没有尝试eventlog,所以我不知道)。
如果它再次失败,那么你的审计deamon是明智地停用。 否则,问题是eventlog的configuration。 (也许它会帮助你http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html )
我最初的怀疑是像COM +或SENS服务的东西在您的W2K服务器上被禁用或损坏。 我不确定这些会不会导致你的问题,但他们会是一个很好的开始。 如果您仍然在受影响的系统上获得login\注销事件,那么这可能不是原因,因为如果这些服务中的任何一个出现问题,这些事件将被禁用。 这里可能值得通过“标准” Windows 2000服务列表来查看是否有任何显着的被禁用或未能启动。
您可以使用SysInternals进程监视器来尝试在您启动\停止某些服务时将任何失败的内容归零。 在这种情况下可能无法提供帮助,但是如果出现错误或访问权限问题阻止事件logging,则Process Monitor应该每次启动\停止服务时报告一次。
即使你不知道如何让stop / start事件本身来生成事件,另一种可能的方法是启用对服务的审计。 如果您正在为服务本身使用实际服务帐户,那么您应该能够捕获与启动\停止相关服务相关联的帐户login\注销事件。 这个Technet链接应该让你开始,如果你想尝试这个。