Я боролся за то, чтобы подписки журнала событий работали на моих контроллерах домена Server 2012 R2. Я создал подписку, инициированную сборщиком, используя графический интерфейс и выбирая значения по умолчанию, когда это возможно. Я выбрал желаемые события и попытался использовать учетную запись компьютера и несколько учетных записей администратора домена.
Сначала я столкнулся с ошибками отказа в доступе в состоянии выполнения, но после долгих исследований я добавил учетные записи пользователей и учетные записи компьютеров в группу чтения журналов событий AD Builtin. Запустил GPUPDATE / Force, перезапустил Winrm и теперь получаю код (0x138C). Исследование этой ошибки в значительной степени указывает на проблемы WinRM, но я проверил функциональность WINRM на обоих компьютерах.
Подвести итоги:
Ошибка - время последней попытки: 10.03.2016 13:17:37. Код (0x138C): подключаемый модуль Windows Event Forward не может прочитать ни одного события из запроса, поскольку запрос не возвращает активного канала. Проверьте каналы в запросе и убедитесь, что они существуют и у вас есть к ним доступ. Время следующей попытки: 10.03.2016 13:57:37.
Вот результат wevtutil, взятый из исходной машины из машины-сборщика.
C:\Windows\system32>wevtutil gl /r:server1 security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 134217728
publishing:
fileMax: 1
Как видите, группа «Читатели журнала событий» (S-1-5-32-573) имеет разрешение на чтение (A ;; 0x1) в журнал безопасности.
Брандмауэры отключены. Обе машины находятся в одной подсети. Мой гугл-фу посылает меня в те же кроличьи норы.
Может ли кто-нибудь показать мне новый такт?
Решение состоит в том, чтобы добавить «channel access permissions
»Для журнала безопасности.
• Убедитесь, что учетная запись компьютера сборщика находится в папке «Event Log Readers
»Встроенная местная группа безопасности. • Настроить сбор событий на компьютере, который нужно отслеживать - добавить SID (S-1-5-20
) учетной записи сетевой службы в разрешения доступа к каналу журнала событий безопасности. - Из командной строки с повышенными привилегиями:
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)
Примерно через 20 минут вы должны начать видеть события в Перенаправленных событиях.