Я эквивалент администратора домена, я пробовал работать в консоли с повышенными привилегиями (щелкните правой кнопкой мыши> запустить от имени администратора), и я постоянно получаю ошибки при выполнении
get-winevent -logname application | where {$_.message -match "Faulting application"} | `
select TimeCreated,message
Я получу три строчки результата, тогда
Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
+ CategoryInfo : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
+ FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand
Кажется, это новая разработка, раньше не возникало подобных ошибок.
Это согласованно - если я запускаю его с -computername с другого сервера, шаблон все равно идет 3 строки ОК, затем ошибки X, затем 5 строк ОК и т. Д.
Я могу запустить это с пользователем без прав администратора в заблокированной системе. Проверьте свои разрешения и политики аудита для журналов событий в GPO. Вы можете настроить его так, чтобы ТОЛЬКО аудиторы могли видеть журналы. Удачи в устранении неполадок, если это так.
Это происходит с другими журналами событий? Например, что, если вы запустите следующее, чтобы просмотреть события входа в систему с определенными идентификаторами событий ?:
Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}
Если это сработает, в журнале событий приложения могут быть некоторые элементы, к которым у вас нет доступа. В этом случае вам придется использовать что-то вроде Монитор процесса чтобы узнать, почему вам отказано в доступе.
Вы можете получить лучшие результаты, используя параметр FilterHashtable для передачи критериев фильтрации командлету Get-WinEvent. Видеть http://ss64.com/ps/get-winevent.html Например.
У меня была проблема с журналом безопасности. Никакие записи не будут возвращены с удаленного get-winevent -logname security
. Пользователь мог получить доступ к удаленному журналу событий безопасности через eventvwr.msc
.
Исправление было взломано reg - добавьте разрешение на этот ключ:
HKLM\System\CurrentControlSet\Services\eventlog\Security
Я добавил группу AD пользователя с доступом на чтение и get-winevent
после этого работал отлично.