Моя группа мониторинга запросила возможность чтения журналов в разделе «Приложения и службы» в средстве просмотра событий 2008/2012/2016. Это журналы, которые находятся в "% SystemRoot% \ System32 \ Winevt \ Logs \". В частности, их интересует журнал «Operations Manager», который касается состояния и активности клиента MS SCOM.
Я пробовал:
Ничего из этого не помогло, доступ запрещен.
Идеальное решение будет развертываться с помощью GPO, не требовать прав администратора и позволять им подключаться к серверу удаленно через средство просмотра событий без использования удаленного рабочего стола, командной строки или PowerShell.
Я застрял. Любая помощь приветствуется!
Предоставление прав доступа к файлам не обеспечивает доступа.
Если вы обнаружите, что читатели журнала событий не имеют доступа ни к одному из журналов в разделе «Журналы приложений и служб», вы можете создать список имен журналов и использовать wevtutil для предоставления настраиваемого разрешения:
REM %%i in a cmd script, or %i if running interactively
FOR /F %%i in (Lognames.txt) DO (
REM Event Log Readers (S-1-5-32-573) security principal
wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
)
Вы можете подтвердить, к каким читателям журнала событий были добавлены учетные записи. Рядовые серверы должны быть добавлены в локальную группу читателей журнала событий. Для контроллеров домена - встроенная в домен группа читателей журнала событий.