Чому я отримую несанкціоновані помилки з Powershell get-winevent?

9

Я еквівалент адміністратора домену, я намагався працювати на підвищеній консолі (клацніть правою кнопкою миші> запустити як адміністратор), і я постійно отримую помилки під час виконання

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Тоді я отримаю три рядки результату

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Це здається новою розробкою, раніше не помилялися.

Це послідовно - якщо я запускаю його з -комп'ютером з іншого сервера, шаблон все одно має 3 рядки ОК, потім X помилки, потім 5 рядків ОК тощо.

powershell user-accounts

— user209162
джерело

1

Яку операційну систему та версію PowerShell ви використовуєте? (gwmi Win32_OperatingSystem).VersionіGet-Host

— Кріс С

Windows Server 2008 R2 + SP1, Powershell 2.0

— користувач209162

це ведеться із підказки підвищеної сили?

— MDMoore313

З get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Чи відповідає вам ця вимога?

— Бріс,

1

Так, це з піднесеної оболонки.

— користувач209162

0

Чи трапляється це з іншими журналами подій? Наприклад, що робити, якщо для перегляду подій входу з конкретними ідентифікаторами подій виконайте наведені нижче дії:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Якщо це працює, у журналі подій програми, до якого ви не маєте доступу, можуть бути деякі елементи. У такому випадку вам доведеться скористатися чимось на зразок Process Monitor, щоб з’ясувати, чому ваш доступ заборонено.

Ви можете отримати кращі результати за допомогою параметра FilterHashtable для передачі критеріїв фільтру до командлету Get-WinEvent. Дивіться приклади на веб-сайті http://ss64.com/ps/get-winevent.html .

— Грег Брей
джерело

0

Я можу це запустити з не адміністративним користувачем у заблокованій системі. Перевірте свої дозволи та політики аудиту на предмет журналів подій у груповій групі. Ви можете встановити його, щоб ТОЛЬКО аудитори могли бачити журнали. Удачі для усунення несправностей, якщо це так.

— Xalorous
джерело

0

У мене виникла ця проблема з журналом безпеки. Жодні записи не будуть повернені з віддаленого пристрою get-winevent -logname security. Користувач зміг отримати доступ до віддаленого журналу подій безпеки через eventvwr.msc.

Виправлення було злом reg - додайте дозвіл до цього ключа:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Я додав групу AD користувача з доступом до читання і get-wineventпісля цього прекрасно працював.

— КЕРР
джерело