在受限帐户下运行时,本地事件日志消息显示正常,但对于远程计算机,我收到此错误:
The description for Event ID ( xxxxx ) in Source ( yyyyy ) cannot be found.
The local computer may not have the necessary registry information or message
DLL files to display messages from a remote computer. You may be able to use the
/AUXSOURCE= flag to retrieve this description; see Help and Support for details.
The following information is part of the event: zzzzz.
同一台远程计算机在域管理员下运行良好。我目前正在尝试使用事件查看器,使用 Run As。原始问题是执行 Get-EventLog 的 PowerShell 脚本。
是否需要任何特殊权限才能远程读取事件日志消息? 据说有Windows 2008 及更高版本中的简单解决方案即只需将用户添加到事件日志阅读器组。Windows 2003 有类似的东西吗?
答案1
我认为问题不在于用户无法读取事件日志,而在于用户无法读取用于这些特定事件的事件日志消息文件。
我的博客文章或许能帮助阐明这一点:http://www.eventlogblog.com/blog/2008/04/event-log-message-files-the-de.html。
在远程系统上,您需要识别特定事件源使用的消息文件,然后确保运行 powershell 脚本的用户具有对这些文件的读取权限。
我还没有尝试过,但是应该工作。
答案2
Windows 2003 中存在的内容,虽然非常复杂且难以维护。解决方案使用数据链路层。