Назад | Перейти на главную страницу

Не могу включить журнал событий

Привет, у меня есть Windows 2012 Server, и я хотел бы вести журнал событий.

Но когда я перехожу к регистратору событий, я не могу включить ведение журнала для желаемых событий. (Я вошел в систему как администратор)

Все выделено серым цветом, путь к журналу недоступен (это единственное, что я могу изменить, но он не сохраняется, когда я нажимаю «ОК»)

Я попытался щелкнуть правой кнопкой мыши по журналу событий и выбрать «Включить журнал», но это не сработало. Я попытался включить аудит в GPO, но это тоже не сработало.

Я просматривал GPO и Register, но не могу найти ничего связанного. Как включить логирование на сервере?

Еще одна странность заключается в том, что в разделе «Журналы приложений и служб» отображается множество других приложений, что обычно не так. Обычно есть только подпапка «Microsoft».

Извините за то, что не получил точного ответа, но я не смог воспроизвести это в 2008 и 2012r2 - все журналы в Microsoft имеют редактируемые параметры. Таких папок журналов у меня тоже нет ни на одном из проверенных мною ПК. Возникает вопрос, что, черт возьми, все это создало. Строчные буквы «microsoft» под стандартным «Microsoft» - это для меня красный флаг.

Как бы то ни было, все мероприятия Microsoft проходят под HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels. Есть Enable вариант для каждого из них, поэтому вы можете изменить его напрямую, чтобы включить журнал. Тот факт, что ваш вариант выделен серым цветом, заставляет меня думать, что это либо проблема с разрешениями реестра, либо проблема с разрешением ChannelAccess (в каждом журнале определена строка разрешения Windows, что для меня новость, поскольку журнал событий не предоставляет какой-либо пользовательский интерфейс разрешений) . Я бы также попробовал запустить eventvwr.exe как СИСТЕМУ с помощью PsExec.

Путь журнала для этого конкретного журнала, который вы сделали снимок экрана, должен быть %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx. Я бы также проверил, не повреждены ли разрешения - и фактические файлы - в этой папке. Понятия не имею, что заставляет его сказать "Недоступно". Этот путь не хранится в реестре, по крайней мере, не очевидным образом, что делает его еще более странным.