Use uma conta que seja membro do grupo Event Log Readers.
Estou usando essa consulta para verificar algumas alterações na conta do Exchange no meu primário do Windows 2008 R2 AD:
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
Estou fazendo um arquivo de lote para enviar o conteúdo do evento como anexo por email com o Agendador de Tarefas, conforme descrito nesta postagem: link
O problema: Eu posso fazer wevtutil qe System o dia inteiro, mas se eu wevtutil qe Security como eu preciso, eu preciso estar em um prompt de comando elevado (mesmas credenciais de usuário admin de domínio, apenas CMD executado como administrador). Portanto, quando minha tarefa agendada chama o arquivo em lote, mesmo que a tarefa tenha a opção "executar com privilégios mais altos" na conta SYSTEM, ela não é executada em um prompt elevado, o que significa que ocorre um erro: "Falha ao abrir consulta de evento. O acesso é negado. "
Então, qualquer uma dessas coisas pode corrigir meu problema:
Abra o log de segurança para ser como log do sistema de alguma forma, onde você Não é necessário um prompt elevado para acessar seu conteúdo usando o wevtutil
Execute a ação Tarefa agendada em um prompt elevado, de alguma forma
Em terceiro lugar, não pensei em