Windows事件日志转发

我目前正在对一个设置进行原型devise,在这个设置中,Windows Server 2008通过源发起的事件转发configuration为Windows XP和Windows 7客户端的中央日志logging实例。 所有的电脑都在同一个域中。

我根据这个DevCenter Articleconfiguration了所有的东西,但是由于提供的日志configurationxml的问题,我只是简单地创build了一个新的abonnement(源启动),放在“域计算机”组中,并且简单地添加了所有的事件。 生成的XML如下所示:

<QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*</Select> <Select Path="Security">*</Select> <Select Path="Setup">*</Select> <Select Path="System">*</Select> </Query> </QueryList> 

正如你所看到的,我想logging所有事件logging器中的所有事件。 但是,在评估日志logging服务器上的日志时,安全日志stream中的所有事件都不会转发到中央日志logging实例(例如,当尝试以另一个用户身份运行程序并input错误的密码时)。 其他日志stream如系统或应用程序完美工作。 我已经通过文章的validation部分,没有看到任何问题。 到目前为止,我只是testing了Windows 7客户端,因为Windows XP没有默认安装事件转发。

任何提示我做错了什么?

  • 这是一个DNS漏洞或利用?
  • Windows Server任务pipe理器显示比所有进程的工作集大小之和高得多的内存使用量
  • “SC.EXEconfiguration”和美元符号的服务名称
  • 我的Active Directory复制设置看起来不正确
  • 从Win2008 R2中删除IIS - 副作用?
  • 简单的方法来复活大量AD客户端closures2年?
  • 6 Solutions collect form web for “Windows事件日志转发”

    对于Windows Vista,7和2008:

    源计算机上的Windows事件收集器服务(wecsvc)(如果使用源启动的订阅将事件转发给收集器计算机)作为“networking服务”帐户运行。 但是,networking服务帐户无权访问安全事件日志。 本地组“事件日志读取器”可以访问所有日志。 这意味着在每个源计算机上,您需要将“networking服务”帐户添加到本地“事件日志读取器”组,以便Windows事件收集器服务可以访问安全事件日志,因此可以将其转发到收集器计算机(S)。

    使用SDDL(安全描述符定义语言),您还可以使用wevtutil重新定义不同事件日志的权限,但这更复杂,这意味着如果您不仔细阅读并仔细阅读,在做任何事之前制定SDDL。

    Query块中的Path属性可能正在对其进行过滤。 它应该没有它的工作:

     <QueryList> <Query Id="0"> <Select Path="Application">*</Select> <Select Path="Security">*</Select> <Select Path="Setup">*</Select> <Select Path="System">*</Select> </Query> </QueryList> 

    可能是安全事件日志的权限问题。

    尝试将收集器计算机帐户添加到其中一台源计算机上的pipe理员组,以确定是否解决了该问题。

    请注意,在Windows 2008和Windows Vista / 7上,有一个新的组事件日志读取器,可以更轻松地提供此级别的访问。

    工作站上是否启用安全日志logging? 如果没有,那么就没有什么可转发的了。

    我们刚刚遵循这个指南,就像我们自己一样,我们没有得到任何地方,直到我们将事件日志的委派帐户添加到域pipe理员,我们不再是废墟。

    下一步,find一个更安全的方式来做到这一点!

    本地networking服务帐户的重点在于它没有提升本地系统的权限,其他应用程序和服务依赖于该帐户的正确configuration。 只要看一下服务控制台,然后按Log On Assorting即可。

    为此目的创build一个不同的帐户可能是一个更好的方法,并将Windows日志收集器服务的configuration更改为以此新帐户运行。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.