Lar*_*ars 6 windows-server-2008 windows-7 windows-event-log
我目前正在对设置进行原型设计,其中通过源启动的事件转发将 Windows Server 2008 配置为 Windows XP 和 Windows 7 客户端的中央日志记录实例。所有计算机都在同一个域中。
我根据这篇 DevCenter 文章配置了所有内容,但由于为日志配置提供的 xml 存在问题,我只是创建了一个新的 abonnement(源启动),放入“域计算机”组并简单地将所有事件添加到其中。生成的 XML 如下所示:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*</Select>
<Select Path="Security">*</Select>
<Select Path="Setup">*</Select>
<Select Path="System">*</Select>
</Query>
</QueryList>
如您所见,我想记录来自所有事件记录器的所有事件。但是,当评估日志服务器上的日志时,安全日志流中的所有事件都不会转发到中央日志实例(例如,当尝试以其他用户身份运行程序并输入错误密码时)。其他日志流(如系统或应用程序)可以完美运行。我已经完成了文章的验证部分,没有看到任何问题。到目前为止,我只是测试了 Windows 7 客户端,因为 Windows XP 默认没有安装事件转发。
任何提示我做错了什么?
对于 Windows Vista、7 和 2008:
如果您使用源启动的订阅,则源计算机上的 Windows 事件收集器服务 (wecsvc) 将事件转发到收集器计算机,该服务以“网络服务”帐户运行。但网络服务帐户无权访问安全事件日志。本地组“事件日志读取者”有权访问所有日志。这意味着在每台源计算机上,您需要将“网络服务”帐户添加到本地“事件日志读取器”组,以便 Windows-Eventcollector 服务能够访问安全事件日志,并将其转发到收集器计算机(s)。
使用 SDDL(安全描述符定义语言),您还可以使用 wevtutil 重新定义不同事件日志的权限,但这更复杂,这意味着如果您不仔细阅读并仔细阅读,您可能很容易破坏某些内容或导致不必要的影响在做任何事情之前先制定 SDDL。
| 归档时间: |
|
| 查看次数: |
6045 次 |
| 最近记录: |