标签: eventviewer

我正在尝试在 Windows Server 2008 r8 上的事件查看器中查看关闭事件跟踪器日志，但是我找不到我在之前重新启动服务器时提供的消息。

我可以在事件查看器中的哪个位置看到这些日志？

我正在做一些故障查找，我发现了两个应该automatic设置为disabled.

找出谁做这件事的最佳方法是什么？可能是我公司的某个人，也可能是客户端的某个人。确定用户帐户就足够了。

我已经查看了 Windows 事件查看器，但是，老实说，我不确定我在寻找什么，而且还有很多工作要做。什么都没有跳到我身上，但我怀疑这只是我不知道我在寻找什么。

我被要求查明上周用户何时登录系统。现在 Windows 中的审计日志应该包含我需要的所有信息。我想如果我使用特定的 AD 用户和登录类型 2（交互式登录）搜索事件 ID 4624（登录成功），它应该为我提供所需的信息，但在我的一生中，我无法弄清楚如何实际过滤事件日志以获取此信息。是否可以在事件查看器内部使用，或者您是否需要使用外部工具将其解析到此级别？

我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html这似乎是我需要的一部分。我稍微修改了一下，只给了我最后 7 天的价值。下面是我试过的 XML。

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) &lt;= 604800000]]]</Select>
    <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
    <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
  </Query>
</QueryList>

它只给了我最后 7 天，但其余时间都不起作用。

任何人都可以帮助我吗？

编辑

感谢Lucky Luke的建议，我一直在进步。下面是我当前的查询，尽管我将解释它没有返回任何结果。

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
     *[System[(EventID='4624')]
     and
     System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]]
     and
     EventData[Data[@Name='TargetUserName']='john.doe']
     and
     EventData[Data[@Name='LogonType']='2']
     ] 
    </Select>
  </Query>
</QueryList>

正如我所提到的，它没有返回任何结果，所以我一直在弄乱它。在我添加 LogonType 行之前，我可以让它正确产生结果。之后，它不返回任何结果。知道为什么会这样吗？

编辑 2

我将 LogonType 行更新为以下内容：

EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]

这应该捕获工作站登录以及工作站解锁，但我仍然一无所获。然后我修改它以搜索其他登录类型，如 3 或 8，它找到了很多。这让我相信查询工作正常，但由于某种原因，事件日志中没有登录类型等于 2 的条目，这对我来说毫无意义。是否可以关闭此功能？

我有一组服务器都显示这些症状。每 2-7 天连续两次，应用程序事件日志中会显示以下错误：

Unable to open the Server service performance object. The first four bytes (DWORD) of the Data section contains the status code.

前四个字节是 34 00 00 C0。事件 ID 是 2004。

谷歌搜索总是会导致微软网站上的这个文档：

http://technet.microsoft.com/en-us/library/cc727117(WS.10).aspx

但是，它声称要解决此问题必须“重新启动服务器服务”。

“服务器”服务一直在运行，据我所知，从来没有在这些服务器上运行过。

有任何想法吗？

这里显示的是什么时区？

格林威治标准时间？系统时区？当我导出日志并在第二台机器上查看时会发生什么。它使用第一个系统的时区还是第二个？

谢谢！

我可以检查所有类型的错误信息与事件查看器，

但我还不知道在 linux 中有这样的实用程序，

我只能检查特定应用程序的错误日志，

或者linux中也有这样的工具吗？

我找不到任何事件或日志文件，
某处是否有此类记录或 WD 仅在找到某些内容时才报告？

Windows 10 专业版，
驱动器使用 bitlocker 加密（可能会以某种方式影响？）

我在网上搜索过，但找不到任何信息；为什么会发生此错误？

它淹没了我的事件查看器：间隔 1 分钟，此错误不断弹出。（即频率为1分钟）

我没有安装任何IIS。

此服务器纯粹是域控制器，未添加其他角色。

请建议我该怎么办？

服务器操作系统 - Window Server 2008 R2 标准版。

更多细节：

Log Name:      System
Source:        Schannel
Date:          6/28/2012 6:06:11 PM
Event ID:      36888
Task Category: None
Level:         Error
Keywords:      
User:          SYSTEM
Computer:      QKSRVDC212.Corp.abc.com
Description:
The following fatal alert was generated: 10. The internal error state is 1203.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
    <EventID>36888</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-06-28T12:36:11.801245500Z" />
    <EventRecordID>9305</EventRecordID>
    <Correlation />
    <Execution ProcessID="524" ThreadID="3516" />
    <Channel>System</Channel>
    <Computer>QKSRVDC212.Corp.abc.com</Computer>
    <Security UserID="S-1-5-18" …

我们有一个在 Azure 的 Windows Server 2008 VM 上运行的旧应用程序，它每隔一分钟左右就会向我们的 Windows 事件日志发送垃圾邮件。我无权访问写入事件日志的代码位的源代码，只有 dll 文件。我也不能重写它，因为它是一个庞大的软件，就像我想的那样。

所以我的问题是......无论如何我可以阻止某些消息的事件源吗？显然，我不想阻止整个事件源进行日志记录，因为它会在出错时记录有用的内容，只是这一特定消息阻塞了我们的服务器日志并变得非常烦人！

根据此处的文档，支持星号通配符，因此它应该适用于例如。

*[EventData[Data[@Name='TargetUserName'] ='User1*']]

但我无法使用任何通配符过滤器 - 有没有人能够做到这一点？