Articles of 事件查看器

事件4656即使手柄操纵审计被禁用

Windows服务器2012R2 auditpol /设置/子类别:“处理操作”/成功:禁用/失败:禁用 仍然得到事件4656“请求对象的句柄” 有任何想法吗?

Windows Server 2008 R2 – login审核失败

我有问题在服务器上configuration审核,以捕捉失败和成功的networkinglogin。 今天早上,我们在locking的屏幕上发现了一个奇怪的login的testing机器。 绝对不是我们的域上存在的用户。 看到这个的用户必须重新启动机器才能login。之后我才发现自己无法看到locking的屏幕。 我被要求进行调查,但是我在受影响的客户端和域控制器上发现的都是非常含糊的日志条目: 客户端事件查看器 TerminalServices-RemoteConnectionManager日志: Listener RDP-Tcp收到连接 安全日志: 没有条目 从那以后,我做了一些改变。 在域控制器策略上,我已启用审核帐户login事件和审核login事件。 资源 另外,我还启用了Active Directory更改事件的相同主题的进一步指南 这是我现在在安全日志中检查DC中的事件查看器时的位置: 审计失败,其中包含帐户名称和时间。 事件ID:4771,失败代码0x18,预authenticationtypes:2。 基于这个来源,我可以看到这是因为密码错误。 但是并不是说从哪里login,哪个远程机器。 如果我提供了正确的密码,它将创build事件ID 4768,说Kerberos身份validation票据被请求,没有结果代码。 以下关于成功login的条目中没有任 我怎样才能将这些logging到我的日志中,以便我能够追踪这个问题,以便将来再次发生? 总而言之,我需要查看networking上所有尝试成功和失败的login尝试。 希望我能够将这些日志缩小到目标IP地址,只显示涉及怀疑被攻破的机器的日志。 这可能没有任何额外的工具/软件?

Windows 10 Defender脱机扫描日志/结果在哪里?

我找不到任何事件或日志文件, 有没有这样的logging,或只有在发现某些东西时才报告WD? Windows 10专业版, 驱动器是用bitlockerencryption的(可能会影响到?)

监视服务“启动types”的状态

我希望能够监视特定服务的“启动types”状态何时从“自动”更改为“手动”。 当“启动types”更改时,我无法find在事件查看器中触发的事件。 无论如何,我可以添加一个事件,或者有任何其他方式来监视这个变化?

将事件查看器中的自定义视图保存到.evtx中

我有事件查看器中的一个自定义视图与几个事件ID的。 我知道你可以将这些事件ID保存在一个.evtx文件中来打开它。 这个过程必须手动执行。 现在是我的问题,我该如何自动化? 通过PowerShell脚本可能或通过任务计划程序中的任务? 我想每周五都执行一次。 我希望有人能帮助我。

域成员服务器导致pipe理员帐户连续login失败

我们的一个域成员服务器几乎每分钟都会持续生成连续的login失败(通过审核策略捕获到事件查看器)。 这是一个典型的故障日志(名称和IP混淆): Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff Event ID: 529 Date: 11/10/2014 Time: 8:44:49 PM User: NT AUTHORITY\SYSTEM Computer: MY_SERVER Description: Logon Failure: Reason: Unknown user name or bad password User Name: Administrator Domain: MY_DOMAIN Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: MY_SERVER Caller User Name: […]

GPO设置为响应事件触发?

我想要在域中的任何计算机中引发事件时触发一个操作/任务。 这可能通过GPO,或者我需要将脚本部署到域上的所有机器?

事件日志的组策略设置

在Windows Server 2008 R2标准版域控制器上,对于Windows 7和Windows XP客户端,在Event Log文件的下面保留下面的设置是否可以? 哪个设置将适用? 在1 GB的Maximum log size或Retain Log to 30 days ,这将优先?

远程桌面服务login历史

是否可以生成过去的用户login到Windows Server 2008远程桌面服务服务器的报告? 我可以在应用程序和服务日志 – > Microsoft – > Windows – > TerminalServices-RemoteConnectionManager下find最接近的事件查看器日志。 这些日志很好,但不能显示每个login事件的用户帐户(事件ID 1149)。 有任何想法吗?

Eventvwr>连接到另一台计算机的快捷方式

我想知道是否可以在批处理命令中编写以下操作? eventvwr (打开事件查看器) 菜单操作>连接到另一台电脑 input电脑的名称。 连接。 这将使我的生活只有几分钟/一天更有效;-) 更新 正如我们刚刚升级到Windows 7,我需要一个新的解决scheme,似乎可能是这样的: %windir%\system32\eventvwr.exe targethostname