通过 GPO 授予对事件查看器“应用程序和服务日志”的访问权限

通过 GPO 授予对事件查看器“应用程序和服务日志”的访问权限

我的监控团队要求能够读取 2008/2012/2016 事件查看器中“应用程序和服务”下的日志。这些日志位于“%SystemRoot%\System32\Winevt\Logs\”中。具体来说,他们对“Operations Manager”日志感兴趣,该日志处理 MS SCOM 客户端的运行状况和活动。

我试过了:

  • 通过 GPO 将它们添加到每台服务器上的“事件日志读取器”组。这样他们就可以访问应用程序事件日志和系统事件日志,但不能访问其他日志。
  • 授予他们对“%SystemRoot%\System32\Winevt\Logs\Operations Manager.evtx”文件的读取权限
  • 授予他们对“%SystemRoot%\System32\Winevt\Logs\”文件夹的读取权限。
  • 这些都无济于事,他们被拒绝访问。

    理想的解决方案可以通过 GPO 部署,不需要管理员权限,并允许他们通过事件查看器远程连接到服务器,而无需通过远程桌面、命令行或 powershell。

    我被困住了。任何帮助我都感激不尽!

    答案1

    授予文件权限并不会提供访问权限。

    如果您发现事件日志读取器无权访问应用程序和服务日志下的任何日志,则可以创建日志名称列表并使用 wevtutil 授予您的自定义权限:

    REM %%i in a cmd script, or %i if running interactively
    FOR /F %%i in (Lognames.txt) DO (
      REM Event Log Readers (S-1-5-32-573) security principal
      wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
    )
    

    您可能需要确认帐户已添加到哪些事件日志读取器。对于成员服务器,需要将它们添加到本地事件日志读取器组。对于域控制器,则添加到域内置事件日志读取器组。

    相关内容