A assinatura do log de eventos retorna o código de erro (0x138C)

Question

A assinatura do log de eventos retorna o código de erro (0x138C)

#1 resposta do (1 votos)

2

Eu tenho lutado para obter assinaturas de log de eventos para trabalhar em meus controladores de domínio do Server 2012 R2. Eu criei a assinatura iniciada pelo coletor usando a GUI e selecionando os padrões sempre que possível. Selecionei meus eventos desejados e tentei usar a conta da máquina e várias contas de administrador de domínio.

No início, encontrei erros de acesso negado no status de tempo de execução, mas depois de muita pesquisa, adicionei as contas de usuário e as contas de máquina aos leitores de log de eventos do grupo do AD Builtin. Ran GPUPDATE / Force, reiniciado Winrm e agora eu recebo Code (0x138C). Pesquisando esse erro praticamente aponta para problemas WinRM, mas eu tenho verificado a funcionalidade WINRM em ambos os computadores.

Para resumir:

Criei assinaturas usando contas de conta de computador e de administrador de domínio
WINRM confirmado está funcionando
Adicionada conta de computador e conta de usuário ao grupo Leitores de log de eventos
Gpupdate, reinicie os serviços, ainda recebo:

Error - Last retry time: 3/10/2016 1:17:37 PM. Code (0x138C): Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them. Next retry time: 3/10/2016 1:57:37 PM.

Aqui está o resultado do wevtutil como resultado da máquina de origem da máquina coletora.

C:\Windows\system32>wevtutil gl /r:server1 security 

name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
  retention: false
  autoBackup: false
  maxSize: 134217728
publishing:
  fileMax: 1

Como você pode ver, o grupo Leitores de Log de Eventos (S-1-5-32-573) tem Permitir Leitura (A; 0x1) no log de segurança.

Os firewalls estão desativados. Ambas as máquinas estão na mesma sub-rede. Meu google fu continua me mandando os mesmos buracos de coelho.

Alguém pode me mostrar um novo tato para tentar?

windows-server-2012-r2 domain-controller windows-event-log eventviewer winrm

por PenNerd 10.03.2016 / 23:13

1 resposta

Tags windows-server-2012-r2 domain-controller windows-event-log eventviewer winrm

passagem de configuração do VMware ESXi para Fibre Channel Ping só funciona duas vezes

score 1 · Answer 1

A solução é adicionar o " channel access permissions " para o log de segurança.

• Verifique se a conta de computador do coletor está no grupo de segurança local “ Event Log Readers ” incorporado. • Configure a Coleta de Eventos no computador a ser monitorado - Adicione o SID (S-1-5-20 ) da conta do Serviço de Rede às permissões de Acesso ao Canal do Registro de Eventos de Segurança. - De um prompt de comando elevado:

wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)

Após aproximadamente 20 minutos, você deve começar a ver eventos nos Eventos encaminhados

Referência: link