Não é possível ativar o log de eventos

2

Oi eu tenho um Windows 2012 Server e gostaria de fazer algum log de eventos.

Mas quando vou para o registrador de eventos, não consigo ativar o registro para os eventos desejados. (Estou logado como a conta de administrador)

Tudo está esmaecido, o caminho do log não está disponível (que é a única coisa que posso alterar, mas não é salva quando pressiono "ok")

Eu tentei clicar com o botão direito do mouse no Event Log e selecione "Enable Log", mas não funciona. Eu tentei ativar a Auditoria no GPO, mas isso também não funcionou.

EutenhovistooGPOeoRegister,masnãoconsigoencontrarnadarelacionado.Comopossoativaroregistronoservidor?

Outracoisaestranhaéquehámuitosoutrosaplicativosmostrandoem"Registros de Aplicativos e Serviços", o que geralmente não é o caso. Normalmente, há apenas a subpasta "Microsoft".

    
por Gilles Lesire 09.05.2018 / 12:27

1 resposta

0

Desculpe por não ter uma resposta certa, mas não consegui reproduzir isso em 2008 e 2012r2 - todos os logs da Microsoft têm opções editáveis. Eu também não tenho essas pastas de logs em nenhum dos PCs que eu verifiquei. Faz uma maravilha que diabos criou todos aqueles. O minúsculo 'microsoft' sob o padrão 'Microsoft' é uma bandeira vermelha para mim.

Por que vale a pena, todos os eventos da Microsoft estão em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels . Existe uma opção Enable para cada um deles, portanto, você pode recorrer a modificá-la diretamente para ativar o log. O fato de sua opção estar acinzentada me faz pensar que é um problema de permissão de registro ou de permissão do ChannelAccess (cada log tem uma cadeia de permissão do Windows definida, o que é novidade para mim, pois o log de eventos não expõe nenhuma interface) . Eu também tentaria executar eventvwr.exe como SYSTEM usando PsExec.

O caminho de registro para esse registro específico que você tirou da tela deve ser %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx . Também verificaria se as permissões - e os arquivos reais - nessa pasta estão intactas. Não faço ideia do que faz com que diga "Não disponível". Esse caminho não é armazenado no registro, ou pelo menos, não de uma maneira óbvia, o que torna ainda mais estranho.

    
por 21.05.2018 / 01:28