我目前正在对一个设置进行原型设计,其中
Windows Server 2008通过源启动的事件转发配置为Windows XP和Windows 7客户端的中央日志记录实例.所有计算机都在同一个域中.
我根据this DevCenter Article配置了所有内容,但是由于提供的日志配置xml存在问题,我只是创建了一个新的abonnement(源启动),放入“域计算机”组并简单地将所有事件添加到它.生成的XML如下所示:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*</Select>
<Select Path="Security">*</Select>
<Select Path="Setup">*</Select>
<Select Path="System">*</Select>
</Query>
</QueryList>
如您所见,我想记录所有事件记录器中的所有事件.但是,在评估日志记录服务器上的日志时,安全日志流中的所有事件都不会转发到中央日志记录实例(例如,当尝试以另一个用户身份运行程序并输入错误的密码时).系统或应用程序等其他日志流完美运行.我已经完成了文章的验证部分而没有看到任何问题.到目前为止,我刚刚测试了Windows 7客户端,因为Windows XP默认情况下没有安装事件转发.
什么提示我做错了什么?
对于Windows Vista,7和2008:
原文链接:https://www.f2er.com/windows/369009.html源计算机上的Windows-Eventcollector服务(wecsvc),如果您使用源启动的订阅,则将事件转发到收集器 – 计算机,作为“网络服务”帐户运行.但是网络服务帐户无权访问安全事件日志.本地组“事件日志读取器”可以访问所有日志.这意味着在每台源计算机上,您需要将“网络服务”帐户添加到本地“事件日志读取器”组,以便Windows-Eventcollector服务可以访问安全事件日志,因此可以将其转发到收集器计算机(S).
使用SDDL(安全描述符定义语言),您还可以使用wevtutil重新定义不同事件日志的权限,但这更复杂,这意味着如果您不仔细阅读并仔细阅读,可能会轻易破坏某些内容或导致不必要的影响在做任何事情之前制定SDDL.
