我正在尝试从同一域中的计算机连接到远程 Windows 服务器 (2019) 并查看其事件日志。但是,我尝试过的几乎所有方法都得到了“拒绝访问”的提示。以下是相关详细信息的列表:
- 事件查看器的“连接到另一台机器”正常工作
- PowerShell
Get-WinEvent失败,访问被拒绝(已正确-Credential通过) - PowerShell
Get-WmiObject -Class Win32_NTEventLogFile -ComputerName ... -Credential ...失败,访问被拒绝 - 使用 winevt 后
EvtOpenSession,所有后续调用均因访问被拒绝而失败(这是意料之中的,因为检查是延迟执行的)
已完成以下配置:
- 该用户是服务帐户,并已添加到以下组:分布式 COM 用户、事件日志读取器、性能监视器用户、远程管理用户
- 已启用允许远程日志管理的防火墙入站规则
- 在 WMI 配置管理中,用户已被添加到 WMI 根目录,具有“远程启用”和所有其他权限
因此,问题是 - 我缺少什么才能让 winevtEvtOpenSession工作,以及(可选)Get-WinEvent和Get-WMIObject