คำถามติดแท็ก windows-event-log

ฉันจะดูประวัติของทุกครั้งที่ Windows Server รีสตาร์ทหรือปิดเครื่องได้อย่างง่ายดายและสาเหตุที่รวมถึงผู้ใช้ที่เริ่มต้นระบบที่เริ่มต้นและระบบล่ม บันทึกเหตุการณ์ Windows เป็นคำตอบที่ชัดเจน แต่รายการทั้งหมดของเหตุการณ์ที่ฉันควรดูคืออะไร ฉันพบโพสต์เหล่านี้บางส่วนที่ตอบคำถามของฉัน: เวลารีบูตเซิร์ฟเวอร์ Windows ครั้งล่าสุดมีคำตอบหลายอย่างซึ่งระบุที่อยู่บางส่วนในประวัติรีสตาร์ทแบบเต็ม ดูบันทึกเหตุการณ์ตัวปิดการทำงานของการปิดระบบภายใต้ Windows Server 2008 R2มีรหัสเหตุการณ์เพิ่มเติม เวลาบันทึกเหตุการณ์เมื่อคอมพิวเตอร์เริ่มทำงาน / เริ่มระบบมีรหัสเหตุการณ์เดียวกันบางรายการ แต่สิ่งเหล่านั้นไม่ครอบคลุมทุกสถานการณ์ AFAIK และข้อมูลนั้นยากที่จะเข้าใจเพราะมันแพร่กระจายไปทั่วคำตอบหลาย ๆ ฉันมี Windows Server หลายรุ่นดังนั้นโซลูชันที่ใช้งานได้อย่างน้อยรุ่น 2008, 2008 R2, 2012 และ 2012 R2 จะเหมาะที่สุด

87 windows-server-2008  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2  windows-event-log 

ฉันเพิ่งปรับใช้การอัปเดตไปยังไซต์ ASP.NET MVC3 ที่มีอยู่ (มันได้รับการกำหนดค่าแล้ว) และฉันได้รับหน้าจอ IIS สีน้ำเงินแห่งความตายที่ระบุ HTTP Error 500.0 - เซิร์ฟเวอร์ภายในผิดพลาด ไม่สามารถแสดงหน้าเว็บได้เนื่องจากเกิดข้อผิดพลาดเซิร์ฟเวอร์ภายใน อย่างไรก็ตาม; ไม่มีสิ่งใดปรากฏในบันทึกเหตุการณ์ของแอปพลิเคชันซึ่งฉันคาดว่าจะเห็นคำอธิบายโดยละเอียดของรายการ ฉันจะวินิจฉัยปัญหานี้ได้อย่างไร

43 iis-7.5  windows-event-log  500-error  asp.net-mvc 

เราเรียกใช้ระบบการเงินบางระบบที่บันทึกข้อความแสดงข้อผิดพลาดไปยังบันทึกระบบ ฉันต้องการตรวจสอบว่าเราสามารถล้างข้อความแสดงข้อผิดพลาดเหล่านี้จากมุมมอง PCI DSS หรือไม่ ฉันสนใจในคำตอบสำหรับ: เซิร์ฟเวอร์ Windows 2000 และ Windows 2003 SP1

29 windows  windows-event-log 

ฉันต้องการเครื่องมือของบุคคลที่สามสำหรับสิ่งนี้หรือไม่?

20 windows-server-2008  windows-event-log 

ฉันถูกขอให้ตรวจสอบเมื่อผู้ใช้เข้าสู่ระบบในสัปดาห์ที่แล้ว ตอนนี้บันทึกการตรวจสอบใน Windows ควรมีข้อมูลทั้งหมดที่ฉันต้องการ ฉันคิดว่าถ้าฉันค้นหารหัสเหตุการณ์ 4624 (ความสำเร็จของการเข้าสู่ระบบ) ด้วยผู้ใช้โฆษณาที่เฉพาะเจาะจงและการเข้าสู่ระบบประเภท 2 (การเข้าสู่ระบบแบบโต้ตอบ) ว่าควรให้ข้อมูลที่ฉันต้องการ แต่สำหรับชีวิตของฉัน บันทึกเหตุการณ์เพื่อรับข้อมูลนี้ เป็นไปได้ภายในของ Event Viewer หรือคุณต้องการใช้เครื่องมือภายนอกเพื่อแยกมันในระดับนี้? ฉันพบhttp://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.htmlซึ่งดูเหมือนจะเป็นส่วนหนึ่งของสิ่งที่ฉันต้องการ ฉันแก้ไขมันเล็กน้อยเพื่อให้มูลค่า 7 วันล่าสุดเท่านั้น ด้านล่างเป็น XML ที่ฉันลอง <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> มันให้แค่ 7 วันล่าสุด แต่ส่วนที่เหลือไม่ได้ทำงาน ใครช่วยฉันด้วยสิ่งนี้ได้บ้าง แก้ไข ขอบคุณคำแนะนำของลัคกี้ลุคฉันก้าวหน้าไปมาก ด้านล่างคือแบบสอบถามปัจจุบันของฉันแม้ว่าฉันจะอธิบายว่าไม่ได้แสดงผลลัพธ์ใด ๆ …

17 windows-server-2008  eventviewer  security  windows-event-log 

ฉันจะตรวจสอบบันทึกเหตุการณ์ของ Windows จากระยะไกลเช่นที่ฉันจะได้รับแจ้งโดยอัตโนมัติเมื่อมีเหตุการณ์บางอย่างเกิดขึ้นได้อย่างไร มีโซลูชันการตรวจสอบที่ใช้งานอยู่มากมาย แต่พวกเขาต้องการความสนใจของมนุษย์หรือการสำรวจอย่างต่อเนื่อง ฉันต้องการโซลูชันแบบพาสซีฟที่จะสร้างการแจ้งเตือนเมื่อมีเหตุการณ์เกิดขึ้น

15 windows  monitoring  windows-event-log  snmp 

เขตเวลาใดที่แสดงที่นี่ GMT? เขตเวลาของระบบ? จะเกิดอะไรขึ้นเมื่อฉันส่งออกบันทึกและดูในเครื่องที่สอง มันใช้เขตเวลาของระบบแรกหรือโซนที่สองหรือไม่? ขอบคุณ!

14 windows  windows-event-log  timezone  eventviewer 

หนึ่งในคุณสมบัติใหม่ของ Server 2008 คือความสามารถในการแนบงานกับเหตุการณ์เฉพาะในบันทึกเหตุการณ์ หนึ่งในการดำเนินการที่มีคือการส่งอีเมลผ่านเซิร์ฟเวอร์ SMTP สิ่งนี้ใช้งานได้ดี แต่จะเหมาะถ้าเนื้อหาของข้อความสามารถวางเนื้อหาของกิจกรรมได้ ฉันได้ลองใช้ $ eventdescription และ% eventdescription% แต่นั่นเป็นเพียงภาพในความมืด จำนวน googling ใด ๆ ก็ไม่ได้ผลลัพธ์ ไม่มีใครรู้ว่าสิ่งนี้เป็นไปได้? อัปเดต : ข้อเสนอแนะของประกายไฟด้านล่างเป็นขั้นตอนในทิศทางที่ถูกต้องฉันเชื่อว่าวิธีการนี้ดูเหมือนจะไม่สามารถใช้ได้กับค่าทั้งหมด ตัวอย่างเช่นฉันสามารถดึง RecordID, Severity และ Channel ดังที่แสดง แต่ฉันไม่สามารถใช้วิธีเดียวกันในการเรียก EventID กลับมาหรือที่สำคัญที่สุดคือคำอธิบาย นี่คือ XML ดิบจากเหตุการณ์: [Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"] [System] [Provider Name="DFSR" /] [EventID Qualifiers="16384"]4412[/EventID] [Level]4[/Level] [Task]0[/Task] [Keywords]0x80000000000000[/Keywords] [TimeCreated SystemTime="2009-05-14T18:18:09.000Z" /] [EventRecordID]45692[/EventRecordID] …

13 windows-server-2008  windows-event-log 

ฉันพบ Microsoft KB นี้ที่ครอบคลุมการตั้งค่า Event Log ที่แนะนำสูงสุดสำหรับระบบปฏิบัติการจนถึง Windows 2008 / Vistaซึ่งแนะนำ 4GB สูงสุดและได้เห็นการอ้างอิงที่คลุมเครืออื่น ๆ ว่า Event Log ที่มีขนาดใหญ่กว่า 4 GB ไม่แนะนำอย่างน้อย 2008 R2 แต่ฉันสงสัยว่าจะเกิดอะไรขึ้นถ้าบันทึกเหตุการณ์เกินขนาดนี้ ฉันทำเกินกว่านี้ในเซิร์ฟเวอร์ทดสอบ (2012 R2) และไม่ได้สังเกตอะไรเช่นการใช้หน่วยความจำสูง ฯลฯ เราไม่สนใจเกี่ยวกับระบบปฏิบัติการก่อนปี 2008 R2 แต่ต้องการบันทึกขนาดใหญ่เพราะเรารวบรวมกิจกรรมจากเครื่องหลาย ๆ เครื่องผ่านทาง การส่งต่อเหตุการณ์ Windows และต้องการให้มีเหตุการณ์ทั้งหมดในที่เดียว

13 windows-server-2008-r2  windows-server-2012  windows-server-2012-r2  windows-event-log 

ฉันค้นหาทางออนไลน์ แต่ไม่พบข้อมูลใด ๆ ทำไมข้อผิดพลาดนี้เกิดขึ้น? มันทำให้ Event Viewer ของฉันเต็มไปด้วยช่วงเวลา 1 นาทีข้อผิดพลาดนี้ยังคงโผล่ขึ้นมา (เช่นความถี่คือ 1 นาที) ฉันไม่มี IIS ติดตั้ง เซิร์ฟเวอร์นี้เป็นตัวควบคุมโดเมนอย่างแท้จริงและไม่มีการเพิ่มบทบาทอื่น กรุณาแนะนำสิ่งที่ฉันควรทำอย่างไร เซิร์ฟเวอร์ระบบปฏิบัติการ - Window Server 2008 R2 Standard Edition รายละเอียดเพิ่มเติม: Log Name: System Source: Schannel Date: 6/28/2012 6:06:11 PM Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: QKSRVDC212.Corp.abc.com Description: …

10 windows-server-2008  windows-event-log  eventviewer 

ใน 3 ระบบแยกกันเหตุการณ์ต่อไปนี้จะถูกบันทึกหลายครั้ง (ระหว่าง 30 ถึง 4,000 ครั้งต่อวันขึ้นอยู่กับระบบ) บนเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์: An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user …

10 security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 

ฉันมีระบบ Windows Server 2008 R2 ที่แสดงข้อผิดพลาดการเข้าสู่ระบบล้มเหลว 4625 พันครั้งด้วย Logon Type 8 (NetworkCleartext) ในส่วนความปลอดภัยของบันทึก Windows ทุกวัน ไม่มีที่อยู่ IP ของระบบที่พยายามเข้าถึงที่ระบุไว้ในที่อยู่เครือข่ายต้นทางดังนั้นสคริปต์ที่ฉันสร้างขึ้นเพื่อบล็อก IP ที่ล้มเหลวบ่อยเกินไปไม่สามารถค้นหาได้ ความพยายามในการเข้าสู่ระบบเหล่านี้มาจากบริการใดบ้าง นี่คือตัวอย่างหนึ่งในนั้น: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security …

9 windows-server-2008  windows-server-2008-r2  log-files  windows-event-log  brute-force-attacks 

Windows Server 2003 มีวิธีใดบ้างที่จะหมุนบันทึกเหตุการณ์ได้อย่างง่ายดาย (หรือล้างและบันทึกโดยอัตโนมัติ)? ฉันกำลังทำการตรวจสอบเล็กน้อยบนเครื่องนี้และบันทึกความปลอดภัยของฉันจะใหญ่จริงอย่างรวดเร็วจริง ๆ และทุกสองสามสัปดาห์ฉันต้องจำไว้เพื่อบันทึกและล้างออก ใช่ฉันสามารถพึ่งพางานสำรองข้อมูลและเปิดใช้งานการเขียนทับ ... แต่มันจะดีกว่าถ้าฉันสามารถให้ Windows บันทึกและล้างบันทึกโดยอัตโนมัติเมื่อใกล้ถึงขีดความสามารถ

9 windows-server-2003  windows-event-log 

ฉันได้เพิ่มการบันทึกลงในเว็บแอปพลิเคชัน (โดยใช้เฟรมเวิร์ก Enterprise Library) ดังนั้นข้อยกเว้นจะถูกบันทึกไว้ในบันทึกเหตุการณ์ของแอปพลิเคชัน ฉันให้เหตุการณ์มีแหล่งที่มาที่เรียกว่า "WebApp" แต่นี่ไม่ได้ถูกบันทึกเนื่องจากไม่มีแหล่งที่มา มีวิธีการเพิ่มแหล่งเหตุการณ์ใหม่ด้วยตนเองหรือไม่? ฉันพบตัวอย่างบางส่วนเกี่ยวกับ stackoverflow แต่สิ่งเหล่านี้ต้องการการสร้างแอพพลิเคชั่นติดตั้งแบบกำหนดเองดังนั้นก่อนที่ฉันจะลงไปบนถนนสายนี้ฉันสงสัยว่ามีวิธีที่ง่ายกว่านี้หรือไม่

2 windows-server-2008  windows-event-log