我正在尝试设置非管理员权限,使其能够通过 powershell 远程将事件写入应用程序日志。远程操作有效,我可以读取注册表等。只是不能写入事件日志。
invoke-command -ComputerName myhost { write-eventlog -LogName Application -Source CMS -EntryType Information -EventID 200 -Message "Testing CMS event" }
错误是
The registry key for the log "Application" for source "CMS" could not be opened.
+ CategoryInfo : PermissionDenied: (:) [Write-EventLog], Exception
+ FullyQualifiedErrorId : The registry key for the log "Application" for source "CMS" could not be opened.,Microsoft.PowerShell.Commands.WriteEventLogCommand
所描述的更改注册表权限的修复不起作用,而且我实际上可以以非管理员用户身份迭代注册表而不会出现问题:
invoke-command -ComputerName myhost { Get-ChildItem "HKLM:\system\currentcontrolset\services\eventlog\application\" }
我看过许多关于这个问题的旧文章。
我尝试启用此密钥的审核(显示无访问权限)并在两台客户端计算机上使用 procmon。如何让其正常工作?
答案1
遇到了同样的问题,使用 wevtutil.exe 修改权限对我来说很有效。祝您 SDDL 编辑愉快!