Por que estou recebendo erros não autorizados com o Powershell get-winevent?

Question

Por que estou recebendo erros não autorizados com o Powershell get-winevent?

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

8

Sou um administrador de domínio equivalente, tentei executar em um console elevado (clique com o botão direito > executar como administrador) e estou constantemente recebendo erros ao executar

get-winevent -logname application | where {$_.message -match "Faulting application"} | '
                                    select TimeCreated,message

Vou pegar três linhas de resultado, então

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Este parece ser um novo desenvolvimento, não obteve esses erros antes.

É consistente - se eu executá-lo com -computername de outro servidor, o padrão continua sendo 3 linhas OK, depois erros X, depois 5 linhas OK, etc.

powershell user-accounts

por user209162 12.02.2014 / 21:55

3 respostas

Tags powershell user-accounts

Configuração de DNS e Active Directory para uma filial Servidores Windows no ESXi 100% da CPU no rollover do ano

score 0 · Answer 1

Isso acontece com outros logs de eventos? Por exemplo, e se você executar o seguinte para visualizar eventos de login com IDs de eventos específicos?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Se isso funcionar, pode haver alguns itens no log de eventos do aplicativo aos quais você não tem acesso. Nesse caso, você teria que usar algo como Process Monitor para descobrir por que seu acesso está sendo negado.

Você pode obter melhores resultados usando o parâmetro FilterHashtable para passar os critérios de filtro para o cmdlet Get-WinEvent. Consulte o link para obter exemplos.

score 0 · Answer 2

Eu posso executar isso com um usuário não administrativo em um sistema bloqueado. Verifique suas permissões e políticas de auditoria para logs de eventos no GPO. Você pode defini-lo SOMENTE os auditores podem ver os registros. Boa sorte para solucionar problemas se for esse o caso.

score 0 · Answer 3

Eu tive esse problema com o log de segurança. Nenhuma entrada seria retornada de um get-winevent -logname security remoto. O usuário conseguiu acessar o log de eventos de segurança remota por meio de eventvwr.msc .

A correção foi um hack de reg - adicione uma permissão a essa chave:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Eu adicionei o grupo AD do usuário com acesso de leitura e get-winevent funcionou perfeitamente depois disso.