我正在寻找适用于 Windows Server 2000/2003的 Windows 事件日志分析和监控软件(Windows Server 2008 中有一些新功能。)功能集应包括:
任何建议或提示如何使用标准工具实现这一点?
谢谢!
在 Windows 2003 域控制器上的“安全”事件日志中,我看到事件 540 的多个条目——“成功的网络登录”在一天中平均间隔几分钟。
特定日期的特定用户的第一个是否一定是用户登录到他们的机器的时间?
如果不是(或者即使是),是否还有另一种(更好的?)方法来告诉用户早上几点登录?
windows active-directory domain domain-controller windows-event-log
当来自特定服务的特定严重性事件命中 Windows 服务器事件日志时,是否有一种简单的方法来发送电子邮件?这是在 Windows Server 2003 上,如果它有所不同的话。
注意,我们确实在我的工作场所为生产服务器提供了适当的监控和警报,但我们只需要一个开发中的服务的快速解决方案。
我创建了一个任务计划程序事件,它在 Microsoft-Windows-Backup 事件日志中的 EventID 14 上通过电子邮件发送给我(注意这是一个新的样式(Vista 及更高版本)日志。我导出了这个,并在 Serverfault 和 Technet 上进行了一些研究后,包括这个问题
我的任务触发器的 XML 要点是:
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-Backup"><Select Path="Microsoft-Windows-Backup">*[System[Provider[@Name='Microsoft-Windows-Backup'] and EventID=14]]</Select></Query></QueryList></Subscription>
<ValueQueries>
<Value name="eventChannel">Event/System/Channel</Value>
<Value name="eventExinfo">Event/EventData/Data[@Name='ComponentStatus']</Value>
<Value name="eventRecordID">Event/System/EventRecordID</Value>
<Value name="eventSeverity">Event/System/Level</Value>
</ValueQueries>
</EventTrigger>
</Triggers>
不幸的是,这会产生错误(Action 上的 Launch Failiure)。非常相似:
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-Backup"><Select Path="Microsoft-Windows-Backup">*[System[Provider[@Name='Microsoft-Windows-Backup'] and EventID=14]]</Select></Query></QueryList></Subscription>
<ValueQueries>
<Value name="eventChannel">Event/System/Channel</Value>
<Value name="eventExinfo">Event/EventData/Data[@Name='BackupTemplateID']</Value>
<Value name="eventRecordID">Event/System/EventRecordID</Value>
<Value name="eventSeverity">Event/System/Level</Value>
</ValueQueries>
</EventTrigger>
</Triggers>
工作正常并向我发送电子邮件“BackupTemplateID”值。
我认为这是因为“ComponentStatus”的内容本身就是 XML,但不是任务计划程序架构的一部分。
有没有人知道解决这个问题的方法?如果这是不可能的,另一种获取数据的方法也可以。
我希望这样做是因为 ComponentStatus 部分会记录备份是否在将 Exchange 作为应用程序进行备份时出现问题,而事件描述仅指示备份已成功完成。
windows-server-2008 windows-event-log task-scheduler windows-server-backup
是否可以dmidecode --type 15从 Linux清除 DMI 事件日志(由 部分显示的日志)?
我知道它可以从 bios 中清除,但它是远程位置的服务器,我想避免重新启动的停机时间。
我觉得这条消息很有趣,起初我以为这是 MS 团队过度活跃的程序员的笑话,或者是一个骗局。但是,该消息一次又一次地出现,一天出现几次:
由于“”上的 DNS 解析错误,NtpClient 无法设置手动对等点以用作时间源。NtpClient 将在 3473457 分钟后重试,然后将重试间隔加倍。错误是:请求的名称有效,但未找到请求类型的数据。(0x80072AFC)
来源:时间服务
事件 ID:134
级别:警告
我怀疑我的时间服务器配置不正确。这是真的吗,我该如何解决?但是为什么会有这么奇怪的消息呢?
注意:我在 Technet 上报告了这一点,您可以在其中找到为什么这个数字如此奇怪的解释(因此,两个答案也找到了该链接并在答案中使用了它;))。
在 Windows 2008 R2 Enterprise 服务器上,事件日志报告事件 ID 7036“应用程序体验服务进入停止状态”,然后它已启动。这种情况每天大约每小时发生一次。
根据我可以在此服务 ( aelookupsvc.exe)上找到的所有文档,它用于 32 位 / 64 位应用程序兼容性。在 Microsoft 的兼容性数据库中查找等。
有什么办法可以确定是什么促使它启动和停止?我知道作为手动服务,它将在需要时启动/停止,但我需要收集有关导致它启动/停止的原因的证据。
windows windows-service windows-event-log windows-server-2008-r2
我们正在尝试通过 Meraki Z1 远程工作人员设备对远程 vpn 上的客户端进行身份验证。Z1 正在发送正确的请求,网络策略服务器 (ias) 服务显然正在对用户进行身份验证,因为我们的 NPS 日志显示审核日志中的原因代码为 0,但是 ias 将访问拒绝返回给Z1 设备。
我很难找出为什么 ias 服务发送访问拒绝,现在我认为我需要某种深度调试输出来查看问题所在。有谁知道我如何能够从 IAS 服务中获取大量日志信息?有没有一种特定的方法可以通过 EventLog 界面启用它?
我们在 Windows Server 2008r2 功能级别域上启用了 AD DS 安全审核。我们使用第三方工具来提醒我们管理组成员身份的变化。我们最近删除了几个属于 Domain Admins 安全组成员的服务帐户,但我们的第三方工具没有通知任何人。
我正在尝试确定我们的审核配置是否有问题、第三方工具是否有问题,或者当安全组中的用户被删除时,Windows 是否只是不记录安全组的“成员已删除”事件。
更具体地说,我们正在寻找“一个成员已从启用安全性的 [Universal|Global|Domain-Local] 组中删除”的安全日志事件。这是在我们的应用程序中启动警报的事件。在这种情况下,“成员”用户帐户被删除,而没有从安全组中明确删除。记录了“用户帐户已删除”的事件。
在这种情况下,我怀疑 Windows 不会记录“A member was removed from a security enabled ... group”事件,因为用户帐户被删除而没有从安全组中明确删除。我想证实这个假设。如果我的假设成立,那么我们需要调整我们的流程。如果我的假设是错误的,并且 Windows应该记录此事件,那么要么我们的审计失败或配置错误,要么应用程序失败。
审核“帐户管理”由 GPO 启用。Admin 安全组将“成功”审核事件添加到其安全属性中。我们域控制器上的安全日志大小为 128mb。我在 DC 上的安全事件日志中搜索了事件 4733、4729 和 4757,但没有找到,但是事件日志仅在几个小时后就回收了我们域上的所有活动。
这些警报过去一直适用于显式成员添加和成员删除事件,并且没有配置更改(我知道,我是 AD 系统管理员)。
也许作为 AD 系统管理员,我应该已经知道这个问题的答案.. 但没有人知道一切:)
我也在 TechNet 上问过这个问题,但没有得到有用的答复。
我们非常关注安全性,因此如果不是完全需要或首先排除故障,我们不会授予本地管理员权限。
我有一个需要编写 Windows 事件日志的应用程序提供者。运行其服务的凭据来自通用域用户。此通用用户已成为“高级用户”组的成员,但我们仍然无法写入 Windows 事件日志。当然,如果我授予“本地管理员”组的成员资格,它就可以正常工作。
如何允许一般用户在不授予用户本地管理员权限的情况下写入 Windows Server 2008 R2 或更高版本上的 Windows 事件日志?
不能使用其他系统帐户,例如“SYSTEM、NETWORK 或 LocalService”;它必须与域用户一起运行。
windows permissions windows-event-log windows-server-2008-r2