Назад | Перейти на главную страницу

Почему я получаю несанкционированные ошибки с Powershell get-winevent?

Я эквивалент администратора домена, я пробовал работать в консоли с повышенными привилегиями (щелкните правой кнопкой мыши> запустить от имени администратора), и я постоянно получаю ошибки при выполнении

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Я получу три строчки результата, тогда

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Кажется, это новая разработка, раньше не возникало подобных ошибок.

Это согласованно - если я запускаю его с -computername с другого сервера, шаблон все равно идет 3 строки ОК, затем ошибки X, затем 5 строк ОК и т. Д.

Я могу запустить это с пользователем без прав администратора в заблокированной системе. Проверьте свои разрешения и политики аудита для журналов событий в GPO. Вы можете настроить его так, чтобы ТОЛЬКО аудиторы могли видеть журналы. Удачи в устранении неполадок, если это так.

Это происходит с другими журналами событий? Например, что, если вы запустите следующее, чтобы просмотреть события входа в систему с определенными идентификаторами событий ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Если это сработает, в журнале событий приложения могут быть некоторые элементы, к которым у вас нет доступа. В этом случае вам придется использовать что-то вроде Монитор процесса чтобы узнать, почему вам отказано в доступе.

Вы можете получить лучшие результаты, используя параметр FilterHashtable для передачи критериев фильтрации командлету Get-WinEvent. Видеть http://ss64.com/ps/get-winevent.html Например.

У меня была проблема с журналом безопасности. Никакие записи не будут возвращены с удаленного get-winevent -logname security. Пользователь мог получить доступ к удаленному журналу событий безопасности через eventvwr.msc.

Исправление было взломано reg - добавьте разрешение на этот ключ:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Я добавил группу AD пользователя с доступом на чтение и get-winevent после этого работал отлично.