Я использую этот запрос для проверки определенных изменений учетной записи Exchange в моем основном AD Windows 2008 R2:
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
Я делаю из него пакетный файл, чтобы отправить содержимое события в виде вложения по электронной почте с помощью планировщика заданий, как описано в этом сообщении: http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
Проблема: я могу wevtutil qe System весь день, но если я сделаю wevtutil qe Security как мне нужно, мне нужно быть в командной строке с повышенными привилегиями (те же учетные данные администратора домена, только CMD запускается как администратор). Поэтому, когда моя запланированная задача вызывает командный файл, даже если для задачи установлен параметр «запускать с наивысшими привилегиями» под учетной записью SYSTEM, она не запускается в запросе с повышенными привилегиями, что означает ошибку: «Не удалось открыть запрос события. Доступ запрещен ".
Таким образом, мою проблему можно решить одним из следующих способов:
Откройте журнал безопасности, чтобы он был как-то похож на системный журнал, где вам не нужно повышенное приглашение для доступа к его содержимому с помощью wevtutil.
Запустить действие запланированной задачи в командной строке с повышенными правами
Что-то третье, о чем я не думал
Используйте учетную запись, которая является членом группы читателей журнала событий.