Jestem odpowiednikiem administratora domeny, próbowałem uruchomić na podwyższonej konsoli (kliknij prawym przyciskiem myszy> uruchom jako administrator) i konsekwentnie otrzymuję błędy podczas wykonywania
get-winevent -logname application | where {$_.message -match "Faulting application"} | `
select TimeCreated,message
W takim razie uzyskam trzy linie wyniku
Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
+ CategoryInfo : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
+ FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand
Wygląda na to, że jest to nowa wersja, wcześniej nie dostałem tych błędów.
Jest spójny - jeśli uruchomię go z opcją -nazwa_komputera z innego serwera, wzorzec nadal będzie zawierał 3 wiersze OK, następnie błędy X, następnie 5 wierszy OK itp.
powershell
user-accounts
użytkownik 209162
źródło
źródło
(gwmi Win32_OperatingSystem).Version
iGet-Host
get-help get-winevent
Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.
Czy spełniasz to wymaganie?Odpowiedzi:
Czy dzieje się tak w przypadku innych dzienników zdarzeń? Na przykład co zrobić, jeśli uruchomisz następujące czynności, aby wyświetlić zdarzenia logowania z określonymi identyfikatorami zdarzeń ?:
Jeśli to zadziała, w dzienniku zdarzeń aplikacji mogą znajdować się elementy, do których nie masz dostępu. W takim przypadku musisz użyć czegoś takiego jak Monitor procesu, aby dowiedzieć się, dlaczego odmawiasz dostępu.
Lepsze wyniki można uzyskać, stosując parametr FilterHashtable w celu przekazania kryteriów filtru do polecenia cmdlet Get-WinEvent. Przykłady można znaleźć na stronie http://ss64.com/ps/get-winevent.html .
źródło
Mogę to uruchomić z użytkownikiem nie będącym administratorem w zablokowanym systemie. Sprawdź swoje uprawnienia i zasady inspekcji dzienników zdarzeń w GPO. Możesz go ustawić tak, aby TYLKO audytorzy widzieli dzienniki. W takim przypadku powodzenia w rozwiązywaniu problemów.
źródło
Miałem ten problem z dziennikiem bezpieczeństwa. Zdalne wpisy nie zostaną zwrócone
get-winevent -logname security
. Użytkownik mógł uzyskać dostęp do zdalnego dziennika zdarzeń zabezpieczeń za pośrednictwemeventvwr.msc
.Naprawą był hack reg - dodaj pozwolenie na ten klucz:
Dodałem grupę AD użytkownika z dostępem do odczytu i
get-winevent
po tym działałem idealnie.źródło