主页 / server / 问题

问题[windows-event-log](server)

Martin Hope
ComeAndGo
Asked: 2023-07-22 05:58:14 +0800 CST
  • 5

部署新的 Windows Server 2022 VM。我们的应用程序 - 没有托管代码的经典 ISAPI - 将事件写入应用程序事件日志以跟踪某些进程的进度,以进行调试和故障排除。

应用程序事件日志显示给定时间的适当条目,但事件日志文本始终为“系统找不到指定的文件”。尽管应用程序写入了详细的消息,包括调用堆栈等,但事件日志中没有显示任何信息,只是“系统找不到指定的文件”。

我该如何解决这个问题 - 重要的是我们会看到发布到事件日志的消息内容。

(不是真正的新会员 - 旧的个人资料丢失了)

windows-event-log
Martin Hope
pithhelmet
Asked: 2022-10-21 12:40:53 +0800 CST
  • 5

在四节点集群中运行 Windows Server 2019 标准版。在事件查看器 -> windows 日志 -> 应用程序中有重复条目。

消息是“Windows Installer 重新配置了产品”。其次是不同的应用和产品

有数百条这样的消息 - 在这组条目之间没有一致的延迟。

大多数 Microsoft 条目都将消息的最后一部分显示为“安装成功或错误状态:0”。

问题是 -

  1. 这些条目应该在那里吗?
  2. 为什么他们不断地重新配置软件?
  3. 我能做些什么来解决这个可能的问题?
windows-event-log windows-server-2019
Martin Hope
bchen
Asked: 2022-03-19 08:24:44 +0800 CST
  • 0

我有一个 Windows Server,它在证书到期日期前 36/37 天开始记录此警告事件,我想了解什么控制/设置此时间以及如何配置它。

相关证书未自动注册。

最终,我想在证书到期前 X 天使用此事件发送通知。

事件查看器中此事件的来源是 CertificateServicesClient-Lifecycle-System>Operational

有关更多上下文,请参见此处: https ://social.technet.microsoft.com/wiki/contents/articles/14250.certificate-services-lifecycle-notifications.aspx

windows-event-log eventviewer windows-server-2019 ad-certificate-services
Martin Hope
MeSo2
Asked: 2021-12-17 18:24:26 +0800 CST
  • 0

在我的Windows Logs > Application我看到这些警告

无法解析 IP 地址“xxx.xxx.xxx.xxx”:不知道这样的主机。

我不知道IP。这些警告记录为:

Log Name: Application
Source: MariaDB
Event ID: 100
Level: Warning

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  - <System>
      <Provider Name="MariaDB" /> 
      <EventID Qualifiers="49152">100</EventID> 
      <Version>0</Version> 
      <Level>3</Level> 
      <Task>0</Task> 
      <Opcode>0</Opcode> 
      <Keywords>0x80000000000000</Keywords> 
      <TimeCreated SystemTime="2021-12-16T23:32:07.8659376Z" /> 
      <EventRecordID>2182760</EventRecordID> 
      <Correlation /> 
      <Execution ProcessID="0" ThreadID="0" /> 
      <Channel>Application</Channel> 
      <Computer>vm-white</Computer> 
      <Security /> 
    </System>
  - <EventData>
      <Data>IP address 'xxx.xxx.xxx.xxx' could not be resolved: No such host is known.</Data> 
    </EventData>
</Event>

我正在托管 WordPress 网站和 Matomo(一个开源网络分析应用程序)。这可能是在尝试使用 MariaDB 查找要绑定的 rDNS 条目吗?

还有什么办法呢?恶意 WordPress 插件?

我很困惑。

我试过了

[mysqld]
bind-address = 127.0.0.1

看看它是否会影响这些记录的警告;但不知何故,我的网站加载时间更长。所以我解开了它。我所有的用户都设置为使用localhost而不是127.0.0.1. 基于这个skip-name-resolve信息,我可能最好禁用名称解析——它可以解释为什么如果它们消失了我会收到这些警告。

Bob 建议检查我的防火墙设置。我做了一些调整,并将继续检查日志是否有任何更改。

MariaDB 的防火墙设置

现在,刚刚收到这个警告

IP 地址“34.96.130.11”已解析为主机名“11.130.96.34.bc.googleusercontent.com”,类似于 IPv4 地址本身。

ip windows-event-log mariadb resolve warning
Martin Hope
Sako
Asked: 2021-06-26 04:01:14 +0800 CST
  • 1

我想设置我的 Windows 服务器的事件日志“满时归档日志,不要覆盖事件”选项启用 GPO。

在我的 Group Plicy 管理编辑器中,没有诸如“归档日志已满,不要覆盖事件”之类的策略选项。

我检查了策略“计算机配置 > Windows 设置 > 安全设置 > 事件日志 > 应用程序日志的保留方法”,这个 plicy 只有以下选项,

  • 按天覆盖事件
  • 根据需要覆盖事件
  • 不要覆盖事件(手动清除日志)

有没有其他方法可以通过注册表或任何其他选项启用“满时存档日志,不覆盖事件”设置?

windows group-policy windows-event-log
Martin Hope
fusione_2008
Asked: 2021-06-21 20:05:22 +0800 CST
  • 0

我正在制作一个脚本,它可以提取所有非空日志并将它们保存为 evtx、csv 或 xml。我已经让脚本适用于基本日志(应用程序、安全性、系统等)以及那些有空格的日志。但是,我不断收到任何带有正斜杠(/)的错误(例如Microsoft-Windows-Ntfs/Operational)。我尝试用破折号、空格、缩写和下划线交换/出来:它们都会导致下面的错误。

注意:-newest 20在代码中用于测试,以减轻负载并节省时间。

代码示例(获得相同的结果):

get-eventlog -log "Microsoft-Windows-Ntfs/Operational" -newest 20

或者

$Logname = "Microsoft-Windows-Ntfs/Operational"
get-eventlog -log $logname -newest 20`

错误:

get-eventlog : The event log 'Microsoft-Windows-Ntfs/Operational' on computer '.' does not exist.
At line:1 char:1
+ get-eventlog -log "Microsoft-Windows-Ntfs/Operational" -newest 20
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-EventLog], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.PowerShell.Commands.GetEventLogCommand
windows powershell windows-event-log
Martin Hope
adel sameer
Asked: 2021-02-01 00:54:35 +0800 CST
  • 0

今天,我的数据库服务器意外重启。查了一下,发现从12月初就收到了这个事件,Network Threat Protection Event。这是活动

Object detected.

 Object name: 64.76.157.3:51747 (different IP every time).
 Object type: N/A.
 Severity level: high.
 Certainty level: complete signature match.
 Detected object type: network attack.
 Detected: Bruteforce.Generic.Rdp.d.
 Task name: Network Threat Protection.
 User name: N/A.
 Computer name: DB01.
 Process: 192.168.0.11:3389.
 PID: 6.

该服务器是 5 个服务器的一部分,它们具有相同的公共 IP,每个服务器都有不同的端口,所有服务器都收到了事件。所以,我的问题是:攻击者是否必须知道公共 IP 才能进行攻击?我怎样才能知道攻击的来源?另外,由于我没有防火墙设备,我是否需要放置防火墙设备。
活动图片

rdp brute-force-attacks windows-event-log
Martin Hope
Paul
Asked: 2021-01-12 08:57:24 +0800 CST
  • 1

按照此答案中的建议,我正在尝试按照此 Microsoft 指南设置 Windows 事件转发:

设置事件源与事件收集器计算机不在同一个域中的源启动订阅

我坚持了好几天,并且已经阅读了数十次本指南,每隔一段时间就会克服另一个小障碍。我已经走了很远,但现在我感觉真的被困住了。

我被困在事件源计算机配置的第 7 点:

  1. 这些步骤应在您的源计算机事件查看器应用程序和服务日志\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 日志中生成事件 104,并显示以下消息:
    “转发器已成功连接到地址处的订阅管理器,随后是事件 100消息:“订阅 <sub_name> 已成功创建。”
  2. 在事件收集器上,订阅运行时状态现在将显示 1 台活动计算机。

我也不确定第 8 点是什么意思。对于订阅运行时状态命令 ( wecutil gr SubscriptionId),我需要一个订阅 ID,但指南没有告诉创建一个。

我很困惑。你能指出我正确的方向吗?谢谢。

windows windows-event-log eventviewer winrm