Powershell get-winevent ile neden yetkisiz hatalar alıyorum?

9

Ben bir etki alanı yöneticisi eşdeğerim, yükseltilmiş bir konsolda çalıştırmayı denedim (sağ tıklama> yönetici olarak çalıştır) ve yürütürken sürekli olarak hatalar alıyorum

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Üç sonuç satırı alacağım,

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Bu yeni bir gelişme gibi görünüyor, daha önce bu hataları almadım.

Tutarlı - başka bir sunucudan-bilgisayaradı ile çalıştırırsam, desen hala 3 OK satırı, sonra X hataları, sonra 5 OK satırı vb.

powershell  user-accounts 
user209162
kaynak
1
Hangi işletim sistemi ve PowerShell sürümünü kullanıyorsunuz? (gwmi Win32_OperatingSystem).VersionveGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
bu yükseltilmiş bir powershell isteminden çalıştırılıyor mu?
MDMoore313
Kimden get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Bu gereksinimi karşılıyor musunuz?
Brice
1
Evet, bu yükseltilmiş bir kabuktan.
user209162

Yanıtlar:

0

Diğer Olay Günlükleri ile olur mu? Örneğin, belirli olay kimliklerine sahip giriş etkinliklerini görüntülemek için aşağıdakileri çalıştırırsanız:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Bu işe yararsa, uygulama olay günlüğünde erişiminiz olmayan bazı öğeler olabilir. Bu durumda erişiminizin neden reddedildiğini öğrenmek için İşlem Monitörü gibi bir şey kullanmanız gerekir .

Filtre ölçütlerini Get-WinEvent cmdlet'ine geçirmek için FilterHashtable parametresini kullanarak daha iyi sonuçlar alabilirsiniz. Örnekler için http://ss64.com/ps/get-winevent.html adresine bakın .

Greg Bray
kaynak
0

Bunu yönetici olmayan bir kullanıcıyla kilitli bir sistemde çalıştırabilirim. GPO'daki olay günlükleri için izinlerinizi ve denetim politikalarınızı kontrol edin. SADECE denetçilerin günlükleri görebilmesi için ayarlanmış olabilirsiniz. Bu durumda iyi şanslar sorun giderme.

Xalorous
kaynak
0

Güvenlik günlüğünde bu sorunu yaşadım. Uzaktan kumandadan hiçbir giriş döndürülmez get-winevent -logname security. Kullanıcı, üzerinden uzaktan güvenlik olay günlüğüne erişebildi eventvwr.msc.

Düzeltme bir reg hack'ti - bu anahtara bir izin ekleyin:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Okuma erişimine sahip kullanıcının AD grubunu ekledim ve get-wineventbundan sonra mükemmel çalıştım.

KERR
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.