Я без особого успеха задал этот вопрос в SuperUser, поэтому размещаю его здесь, чтобы узнать, может ли кто-нибудь помочь.
У нас есть центральный сервер системного журнала, и мы хотим, чтобы он собирал события журнала событий с хостов Windows. Мы особенно заинтересованы в регистрации событий запуска / остановки службы. Мы установили «Eventlog to Syslog» на эти хосты Windows, и все они хорошо работают с хостами XP (события поступают из Service Control Manager). Однако у нас возникают проблемы с хостами Win2k. По какой-то причине события запуска / остановки службы не регистрируются в журнале событий для хостов Win2k. Я попросил другого друга из другой компании протестировать на хосте Win2k, и он действительно получает на них события запуска / остановки. Я искал политики локального аудита, которые мне нужно включить, но без особого успеха. У кого-нибудь есть идеи?
Заранее спасибо.
Мое первоначальное подозрение было бы, что что-то вроде служб COM + или SENS отключено или сломано на ваших серверах W2K. Я не уверен, что что-то из этого может вызвать вашу проблему, но с них можно начать. Если вы по-прежнему получаете события входа в систему \ выхода из системы в затронутых системах, то это вряд ли является причиной, так как они будут отключены, если что-то не так с любой из этих служб. Возможно, стоит проработать список "стандартных" Сервисы Windows 2000 здесь чтобы увидеть, есть ли что-нибудь существенное, что отключено или не запускается.
Ты можешь использовать Монитор процессов SysInternals чтобы попытаться сосредоточиться на том, что дает сбой при запуске \ остановке некоторых служб. Возможно, в этом случае он не сможет помочь, но есть большая вероятность, что в случае ошибки или проблемы с правами доступа, препятствующей регистрации событий, Process Monitor должен сообщать об этом каждый раз, когда вы запускаете \ останавливаете службы.
Другой подход, который может сработать, даже если вы не можете понять, как заставить сами события остановки / запуска генерировать события, - это включить аудит служб. Если вы используете фактические учетные записи служб для самих служб, тогда вы сможете перехватить события входа в систему \ выхода из учетной записи, связанные с запуском \ остановкой связанных служб. Эта ссылка Technet должен помочь вам начать, если вы хотите попробовать это.
Попробуйте с syslogAgent (http://syslogserver.com/syslogagent.html), который не требует специальной настройки (я не пробовал журнал событий, поэтому не знаю).
Если он снова не работает, то ваш демон аудита, вероятно, будет деактивирован. В противном случае проблема заключается в настройках журнала событий. (Может быть, это поможет тебе http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html )