Tại sao tôi nhận được lỗi trái phép với Powershell get-winevent?

9

Tôi là quản trị viên tên miền tương đương, tôi đã thử chạy trong bảng điều khiển nâng cao (nhấp chuột phải> chạy với tư cách quản trị viên) và tôi liên tục gặp lỗi khi thực thi

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Tôi sẽ nhận được ba dòng kết quả, sau đó

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Đây dường như là một sự phát triển mới, chưa từng có những lỗi đó trước đây.

Nó phù hợp - nếu tôi chạy nó với tên máy tính từ một máy chủ khác, mẫu vẫn có 3 dòng OK, sau đó là lỗi X, sau đó là 5 dòng OK, v.v.

powershell  user-accounts 
người dùng209162
nguồn
1
Bạn đang chạy hệ điều hành và phiên bản nào của PowerShell? (gwmi Win32_OperatingSystem).VersionGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
cái này có được chạy từ dấu nhắc powershell không?
MDMoore313
Từ get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Bạn có đáp ứng yêu cầu này?
Brice
1
Vâng, đây là từ một vỏ cao.
user209162

Câu trả lời:

0

Có xảy ra với các Nhật ký sự kiện khác không? Chẳng hạn, nếu bạn chạy như sau để xem các sự kiện đăng nhập với ID sự kiện cụ thể thì sao?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Nếu nó hoạt động, có thể có một số mục trong nhật ký sự kiện ứng dụng mà bạn không có quyền truy cập. Trong trường hợp đó, bạn sẽ phải sử dụng một cái gì đó như Process Monitor để tìm hiểu lý do tại sao quyền truy cập của bạn bị từ chối.

Bạn có thể nhận được kết quả tốt hơn bằng cách sử dụng tham số FilterHashtable để chuyển tiêu chí lọc cho lệnh ghép ngắn Get-WinEvent. Xem http://ss64.com/ps/get-winevent.html để biết ví dụ.

Greg Bray
nguồn
0

Tôi có thể chạy cái này với người dùng không phải quản trị viên trên hệ thống bị khóa. Kiểm tra quyền của bạn và chính sách kiểm toán cho nhật ký sự kiện trong GPO. Bạn có thể đặt nó để kiểm toán viên CHỈ có thể xem nhật ký. Chúc may mắn xử lý sự cố nếu đó là trường hợp.

Xalious
nguồn
0

Tôi đã có vấn đề này với Nhật ký bảo mật. Không có mục nào sẽ được trả lại từ xa get-winevent -logname security. Người dùng đã có thể truy cập sự kiện bảo mật từ xa thông qua eventvwr.msc.

Bản sửa lỗi là bản hack reg - thêm quyền vào khóa này:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Tôi đã thêm nhóm AD của người dùng có quyền truy cập đọc và get-wineventhoạt động hoàn hảo sau đó.

KERR
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.