您好,我有一台 Windows 2012 Server,想要做一些事件记录。
但是当我进入事件记录器时,我无法为所需事件启用日志记录。(我以管理员帐户登录)
所有内容都显示为灰色,日志路径不可用(这是我唯一可以更改的内容,但按“确定”时它不会保存)
我尝试右键单击事件日志并选择“启用日志”,但不起作用。我尝试在 GPO 中启用审核,但也没有用。
我一直在查看 GPO 和注册,但找不到任何相关内容。如何在服务器上启用日志记录?
另一件奇怪的事情是,“应用程序和服务日志”下显示了很多其他应用程序,通常情况并非如此。通常只有“Microsoft”子文件夹。
答案1
抱歉,我没有确定的答案,但我无法在 2008 和 2012r2 上重现此问题 - Microsoft 下的所有日志都有可编辑选项。我检查过的任何 PC 上都没有这样的日志文件夹。让人不禁想知道到底是什么创建了所有这些。标准“Microsoft”下的小写“microsoft”对我来说是一个危险信号。
值得一提的是,所有 Microsoft 事件都在 下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels。每个事件都有一个Enable选项,因此您可以直接修改该选项以启用日志。您的选项呈灰色,这让我认为这是注册表权限问题或 ChannelAccess 权限问题(每个日志都定义了一个 Windows 权限字符串,这对我来说是新鲜事,因为事件日志不公开任何权限 UI)。我还将尝试使用 PsExec 以 SYSTEM 身份运行 eventvwr.exe。
您截屏的那个特定日志的日志路径应该是%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx。我还会检查该文件夹中的权限(以及实际文件)是否完好无损。不知道是什么原因导致它显示“不可用”。此路径未存储在注册表中,或者至少没有以明显的方式存储,这使其更加奇怪。
答案2
最近在计算机上的应用程序、安全和系统事件日志中遇到了这个问题,在这些计算机上,我们有一个脚本应用AutoBackupLogFiles和FlagsDWORD 到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security。出于某种原因,一些计算机将这些值显示为字符串而不是 DWORD。如果将任何一个值设置为字符串,事件日志属性将显示不可用的路径,并且您将无法调整任何选项。
删除注册表标志和/或 AutoBackupLogFiles 字符串项并替换为类似的 DWORD 项应该可以解决该问题。