Назад | Перейти на главную страницу

Подписка на журнал событий возвращает код ошибки (0x138C)

Я боролся за то, чтобы подписки журнала событий работали на моих контроллерах домена Server 2012 R2. Я создал подписку, инициированную сборщиком, используя графический интерфейс и выбирая значения по умолчанию, когда это возможно. Я выбрал желаемые события и попытался использовать учетную запись компьютера и несколько учетных записей администратора домена.

Сначала я столкнулся с ошибками отказа в доступе в состоянии выполнения, но после долгих исследований я добавил учетные записи пользователей и учетные записи компьютеров в группу чтения журналов событий AD Builtin. Запустил GPUPDATE / Force, перезапустил Winrm и теперь получаю код (0x138C). Исследование этой ошибки в значительной степени указывает на проблемы WinRM, но я проверил функциональность WINRM на обоих компьютерах.

Подвести итоги:

Ошибка - время последней попытки: 10.03.2016 13:17:37. Код (0x138C): подключаемый модуль Windows Event Forward не может прочитать ни одного события из запроса, поскольку запрос не возвращает активного канала. Проверьте каналы в запросе и убедитесь, что они существуют и у вас есть к ним доступ. Время следующей попытки: 10.03.2016 13:57:37.

Вот результат wevtutil, взятый из исходной машины из машины-сборщика.

C:\Windows\system32>wevtutil gl /r:server1 security 

name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
  retention: false
  autoBackup: false
  maxSize: 134217728
publishing:
  fileMax: 1

Как видите, группа «Читатели журнала событий» (S-1-5-32-573) имеет разрешение на чтение (A ;; 0x1) в журнал безопасности.

Брандмауэры отключены. Обе машины находятся в одной подсети. Мой гугл-фу посылает меня в те же кроличьи норы.

Может ли кто-нибудь показать мне новый такт?

Решение состоит в том, чтобы добавить «channel access permissions»Для журнала безопасности.

• Убедитесь, что учетная запись компьютера сборщика находится в папке «Event Log Readers»Встроенная местная группа безопасности. • Настроить сбор событий на компьютере, который нужно отслеживать - добавить SID (S-1-5-20) учетной записи сетевой службы в разрешения доступа к каналу журнала событий безопасности. - Из командной строки с повышенными привилегиями:

wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)

Примерно через 20 минут вы должны начать видеть события в Перенаправленных событиях.

Ссылка: https://rockyprogress.wordpress.com/2011/12/04/security-event-log-collection-from-a-domain-controller/