我在 SuperUser 中问了这个问题,但是没有得到太多的答复,因此我将其发布在这里,看看是否有人可以提供帮助。
我们有一个中央系统日志服务器,我们希望它能捕获来自 Windows 主机的事件日志事件。我们特别感兴趣的是记录服务启动/停止事件。我们在这些 Windows 主机上安装了“Eventlog to Syslog”,并且所有功能在 XP 主机上都能很好地运行(事件来自服务控制管理器)。但是,我们在 Win2k 主机上遇到了问题。出于某种原因,服务启动/停止事件不会记录在 Win2k 主机的事件日志中。我让另一家公司的另一个朋友在 Win2k 主机上进行测试,他确实收到了启动/停止事件。我到处寻找我需要启用的本地审计策略,但运气不佳。有人有什么想法吗?
提前致谢。
答案1
尝试使用 syslogAgent (http://syslogserver.com/syslogagent.html) 不需要任何特殊配置(我还没有尝试过 eventlog 所以我不知道)。
如果再次失败,则您的审计守护进程可能已停用。否则,问题出在 eventlog 的配置上。(也许它会帮助你http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
答案2
我最初的怀疑是您的 W2K 服务器上的 COM+ 或 SENS 服务之类的服务被禁用或损坏。我不确定这两者是否会导致您的问题,但它们是一个很好的起点。如果您在受影响的系统上仍然收到登录\注销事件,那么这不太可能是原因,因为如果这些服务中的任何一个出现问题,这些服务将被禁用。可能值得研究“标准”列表Windows 2000 服务查看是否有任何重要的东西被禁用或无法启动。
您可以使用SysInternals 进程监视器尝试找出启动/停止某些服务时失败的所有内容。在这种情况下,它可能无法提供帮助,但如果存在错误或访问权限问题阻止记录事件,则 Process Monitor 应该会在您每次启动/停止服务时报告该问题。
另一种可能有效的方法是启用对服务的审核,即使您无法弄清楚如何让停止\启动事件本身生成事件。如果您对服务本身使用实际的服务帐户,那么您应该能够捕获与启动\停止相关服务相关的帐户登录\注销事件。此 Technet 链接如果您想尝试一下,应该可以帮助您入门。