我一直在努力让事件日志订阅在我的 Server 2012 R2 域控制器上运行。我使用 GUI 创建了收集器启动订阅,并尽可能选择默认值。我选择了所需的事件并尝试使用机器帐户和多个域管理员帐户。
起初,我在运行时状态中遇到了拒绝访问错误,但经过大量研究后,我将用户帐户和机器帐户添加到 AD 内置组事件日志读取器中。运行 GPUPDATE /Force,重新启动 Winrm,现在我得到代码 (0x138C)。研究该错误几乎指向 WinRM 问题,但我已在两台计算机上验证了 WINRM 功能。
总结一下:
- 使用计算机帐户和域管理员帐户创建订阅
- 已验证 WINRM 正在运行
- 将计算机帐户和用户帐户添加到事件日志读取器组
- Gpupdate,重新启动服务,仍然得到:
错误 - 上次重试时间:2016 年 3 月 10 日下午 1:17:37。代码 (0x138C):Windows Event Forward 插件无法从查询中读取任何事件,因为查询未返回任何活动频道。请检查查询中的频道,确保它们存在并且您可以访问它们。下次重试时间:2016 年 3 月 10 日下午 1:57:37。
这是从收集器机器获取的源机器的 wevtutil 的结果。
C:\Windows\system32>wevtutil gl /r:server1 security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 134217728
publishing:
fileMax: 1
如您所见,事件日志读取器组(S-1-5-32-573)已允许读取(A;;0x1)安全日志。
防火墙已关闭。两台机器位于同一子网。我的 google fu 总是让我陷入同样的困境。
有人能告诉我一种可以尝试的新方法吗?
答案1
channel access permissions
解决办法是在安全日志中添加“ ”。
• 确保收集器的计算机帐户位于“ Event Log Readers
”内置本地安全组中。 • 在要监视的计算机上配置事件收集 - 将(S-1-5-20
网络服务帐户的 SID ) 添加到安全事件日志的通道访问权限中。 - 从提升的命令提示符:
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)
大约 20 分钟后,您应该开始在“转发事件”中看到事件