我有一个 Windows Server,它在证书到期日期前 36/37 天开始记录此警告事件,我想了解什么控制/设置此时间以及如何配置它。
相关证书未自动注册。
最终,我想在证书到期前 X 天使用此事件发送通知。
事件查看器中此事件的来源是 CertificateServicesClient-Lifecycle-System>Operational
有关更多上下文,请参见此处: https ://social.technet.microsoft.com/wiki/contents/articles/14250.certificate-services-lifecycle-notifications.aspx
按照此答案中的建议,我正在尝试按照此 Microsoft 指南设置 Windows 事件转发:
我坚持了好几天,并且已经阅读了数十次本指南,每隔一段时间就会克服另一个小障碍。我已经走了很远,但现在我感觉真的被困住了。
我被困在事件源计算机配置的第 7 点:
- 这些步骤应在您的源计算机事件查看器应用程序和服务日志\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日志中生成事件 104,并显示以下消息:
“转发器已成功连接到地址处的订阅管理器,随后是事件 100消息:“订阅 <sub_name> 已成功创建。”- 在事件收集器上,订阅运行时状态现在将显示 1 台活动计算机。
我也不确定第 8 点是什么意思。对于订阅运行时状态命令 ( wecutil gr SubscriptionId),我需要一个订阅 ID,但指南没有告诉创建一个。
我很困惑。你能指出我正确的方向吗?谢谢。
希望您能帮到您,有时备份任务会失败,通常是短暂的 VSS 错误,重新运行备份通常会成功完成。我想要做的是使用 Task Schdeuler 中的事件过滤器来触发备份重新启动。仅针对 EventID (5635) 执行此操作没有任何问题,但我有许多备份作业正在运行,因此我需要更具体一点,这就是我遇到砖墙的地方。
XML 事件数据如下所示:
<EventData>
<Data>
Backup job Server Backup 1 completed with warnings. Major Warning: One or more Hyper-V guests have reported errors that could result in an incomplete backup. Check each guest's event log and review any errors reported. Major Warning: Volume Shadow Copy Error 0x800423f4 - writer error: non retryable Destination: Local hard drive Bytes: 7191744309979 Start time: 01/01/2021 22:00:02 End time: 01/01/2021 22:12:25 Duration: 00:12:23.0745879 Job Execution ID: 1.679
</Data>
</EventData>
我正在尝试让事件过滤器获取“服务器备份 1”文本,并且我正在使用以下查询:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='BackupAssist'] and (Level=3) and (EventID=5635) and *[EventData[Data[1]='Server Backup 1']]]]</Select>
</Query>
</QueryList>
但是,这不会在记录事件时触发。我怀疑这是通配符字符串问题,但我不确定。
任何帮助都感激地收到了 Rob
Microsoft“应用程序和服务日志”中的错误和警告事件是否会发送到 Windows 应用程序和/或系统日志?例如,如果 AppHost 生成了一个错误事件,它会显示在应用程序和/或系统中吗?有没有办法配置某些特定的应用程序和服务以将错误发送到应用程序或系统?
在事件 ID 4648 中,主题的帐户名称是“标准用户”。但是在使用的凭据部分下,帐户名称是“管理员”,目标服务器是“LocalHost”,帐户域也相同。这怎么可能?这个事件的确切解释是什么?任何应用程序的使用都会导致这种情况吗?
我对 Windows 事件日志中显示的时区有疑问。我读过,如果我从另一台机器导出 Windows 事件日志并在我的具有不同时区的机器中打开它,事件的时间将转换为我的时区。场景是我正在调试在 JST 时区设置的 VM 中发生的问题。当我在位于 IST 时区的本地计算机中打开文件时,我可以在 Windows 日志中看到这样记录的事件——
进程 C:\Program Files\Altek\Agent\bin\altekbin.exe (VERY1) 已代表用户 NT AUTHORITY\SYSTEM 发起关闭计算机 VERY1,原因如下: No title for this reason could be found 原因代码: 0x3000c
记录:23-01-2020 18:20:13
由于时间在我的 IST 机器中显示为 18:20:13,我认为 JST 中发生的实际时间是 21.50 JST。我的理解正确吗?这个时间戳转换让我有点困惑,所以如果有人能解决我的疑问,我会很感激?
我们在客户的网站上有几个“RDX”USB 盒式驱动器。通常他们不会在 Windows 事件日志中记录任何内容。安装可选的“RDX 工具”后,这种情况会发生变化。安装后,您开始在“应用程序”日志中看到由名为“RDXmon”的源生成的条目。(现在有一个名为RDXmon运行的服务C:\Program Files (x86)\RDX\Service\RDXmon.exe。)
而且这个源似乎没有正确安装在 Windows 上。
字符串未正确解析。相反,您会收到以 Windows 样板为前缀的此类消息:
找不到来自源 RDXmon 的事件 ID 0 的描述。引发此事件的组件未安装在本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复组件。
如果事件起源于另一台计算机,则显示信息必须与事件一起保存。
活动中包含以下信息:
RDXmon:
MediaInsereted() IOCTL 失败。设备:1--(错误代码:2)系统找不到指定的文件。
(我想MediaInsereted“MediaInserted”是一个奇怪的错字。)
RDXmon输出正确的消息?我通过 Google 找不到太多信息,而且似乎没有官方的 Tandberg 讨论论坛。而且似乎没有“RDXmon”的文档。
我认为提供者/发布者/来源未注册。(我不清楚确切的术语。)
至少 WEvtUtil 出现空:
PS C:\> wevtutil enum-publishers | findstr /I rdx
PS C:\>
(我假设WEvtUtil.exe“发布者”与 PowerShellGet-WinEvent所谓的“提供者”和eventvwr.msc所谓的“源”相同。如果我错了,请纠正我。)
虽然它没有注册,但它仍然记录到“应用程序”日志中:
PS C:\> Get-WinEvent -Logname Application -MaxEvents 1111 2>$null |
where {$_.providername -eq 'RDXmon'} |
select providername, logname, Containerlog |
select -first 3
ProviderName LogName ContainerLog
------------ ------- ------------
RDXmon Application application
RDXmon Application application
RDXmon Application application
我尝试像这样注册提供程序:
New-EventLog -LogName application -Source RDXmon
但这使事情变得更具可读性,所以我再次取消了它。
根据此处的文档,支持星号通配符,因此它应该可以在例如。
*[EventData[Data[@Name='TargetUserName'] ='User1*']]
但我无法让任何通配符过滤器工作 - 有没有人能够做到这一点?
我已经成功地为收集器启动了 2 个订阅,它们正在转发事件。现在我正在尝试添加第三个订阅以获取我所有桌面的日志,因此由于它们的数量,我正在使用源启动来使用组。我假设我可以同时启动收集器和源?通过许多故障排除文章和论坛,我检查了服务(WinRM、事件转发)是否通过我的测试桌面上的 GPO 下推。服务(Win 事件日志收集器)位于收集器服务器上。看起来 Windows 防火墙规则在所有计算机上,即使防火墙已关闭。订阅管理器的 GPO 看起来不错。我的订阅都带有绿色复选标记。
我的主要测试是运行: EventCreate /T ERROR /ID 101 /L APPLICATION /SO TEST /D “这只是一个综合事务测试。忽略这个事件。”
我已经从服务器运行它并且我看到它(收集器启动),我已经在 Win7 和 Win10 桌面上运行它。两个桌面都不能转发事件。我在另一个论坛上看到有人谈论堆栈 2.0 和 3.0,具体取决于收集器是服务器 2008 还是服务器 2012。我使用的是服务器 2012。我在两个桌面上运行了 winrm id,win7 是堆栈 2.0,win10 是堆栈 3.0。由于两个桌面都不能转发事件,我假设这不是问题。
我已经从收集器服务器运行了 winrm id -remote:computername -auth:none 并得到了响应。我缺少任何故障排除步骤吗?我可以运行任何命令来检查两台机器的通信吗?是否有从桌面运行到收集器的测试?
尝试在收集器服务器 2012 上运行 winrm qc 会给出结果:C:\Users\richard>winrm qc WinRM 服务已在此计算机上运行。WSManFault Message = 客户端无法连接到请求中指定的目标。验证目标上的服务是否正在运行并且正在接受请求。请查阅在目标(最常见的是 IIS 或 WinRM)上运行的 WS-Management 服务的日志和文档。如果目标是 WinRM 服务,在目标上运行以下命令来分析和配置 WinRM 服务:“winrm quickconfig”。错误号:-2144108526 0x80338012 客户端无法连接到请求中指定的目的地。验证目标上的服务是否正在运行并且正在接受请求。请查阅在目标(最常见的是 IIS 或 WinRM)上运行的 WS-Management 服务的日志和文档。如果目标是 WinRM 服务,在目标上运行以下命令来分析和配置 WinRM 服务:“winrm quickconfig”。
我在 VMware 中运行 Win2012 服务器,我已经安装了 IIS、NAP、VPN、DHCP、DNS、WDS、AD DS、AD CS。我的域中有 win7 客户端,但它们没有打开。
问题是,我收到了大量 ID 为 4634、4624 和 4672 的事件。我几乎每 2 秒收到 1 个事件。它们都来自我的 Win2012 服务器。
登录事件示例:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Delegation
New Logon:
Security ID: SYSTEM
Account Name: DC-SERVER$
Account Domain: SKOLE
Logon ID: 0x20BE923
Logon GUID: GUID
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: fe80::e130:38a0:ae35:35bd
Source Port: 58047
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
模拟在委派和模拟之间发生变化。源端口也一直在变化。
如您所见,这些事件在同一秒内发生了多次。我完全不知道是什么原因造成的。我已经用谷歌搜索并搜索了论坛的答案,但我找不到任何有帮助的东西。
对于任何告诉我关闭审计的人——不,我不会,我想找到问题或得到一个好的解释。
更新:
显然我已经有这个问题很长一段时间了,但直到现在我才真正注意到。我有我的服务器的快照,我没有安装 NAP、VPN 和 AD CS,但我仍然收到大量事件。我确信这与AD有关。有谁可以帮忙吗?