Dlaczego dostaję nieautoryzowane błędy w programie Powershell get-winevent?

9

Jestem odpowiednikiem administratora domeny, próbowałem uruchomić na podwyższonej konsoli (kliknij prawym przyciskiem myszy> uruchom jako administrator) i konsekwentnie otrzymuję błędy podczas wykonywania

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

W takim razie uzyskam trzy linie wyniku

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Wygląda na to, że jest to nowa wersja, wcześniej nie dostałem tych błędów.

Jest spójny - jeśli uruchomię go z opcją -nazwa_komputera z innego serwera, wzorzec nadal będzie zawierał 3 wiersze OK, następnie błędy X, następnie 5 wierszy OK itp.

użytkownik 209162
źródło
1
Z jakiego systemu operacyjnego i wersji programu PowerShell korzystasz? (gwmi Win32_OperatingSystem).VersioniGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
209162
czy jest to uruchamiane z podwyższonego programu PowerShell?
MDMoore313
Od get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Czy spełniasz to wymaganie?
Brice
1
Tak, to z podniesionej skorupy.
user209162

Odpowiedzi:

0

Czy dzieje się tak w przypadku innych dzienników zdarzeń? Na przykład co zrobić, jeśli uruchomisz następujące czynności, aby wyświetlić zdarzenia logowania z określonymi identyfikatorami zdarzeń ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Jeśli to zadziała, w dzienniku zdarzeń aplikacji mogą znajdować się elementy, do których nie masz dostępu. W takim przypadku musisz użyć czegoś takiego jak Monitor procesu, aby dowiedzieć się, dlaczego odmawiasz dostępu.

Lepsze wyniki można uzyskać, stosując parametr FilterHashtable w celu przekazania kryteriów filtru do polecenia cmdlet Get-WinEvent. Przykłady można znaleźć na stronie http://ss64.com/ps/get-winevent.html .

Greg Bray
źródło
0

Mogę to uruchomić z użytkownikiem nie będącym administratorem w zablokowanym systemie. Sprawdź swoje uprawnienia i zasady inspekcji dzienników zdarzeń w GPO. Możesz go ustawić tak, aby TYLKO audytorzy widzieli dzienniki. W takim przypadku powodzenia w rozwiązywaniu problemów.

Xalorous
źródło
0

Miałem ten problem z dziennikiem bezpieczeństwa. Zdalne wpisy nie zostaną zwrócone get-winevent -logname security. Użytkownik mógł uzyskać dostęp do zdalnego dziennika zdarzeń zabezpieczeń za pośrednictwem eventvwr.msc.

Naprawą był hack reg - dodaj pozwolenie na ten klucz:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Dodałem grupę AD użytkownika z dostępem do odczytu i get-wineventpo tym działałem idealnie.

KERR
źródło