Conceder acesso ao Event Viewer "Logs de aplicativos e serviços" via GPO

Question

Conceder acesso ao Event Viewer "Logs de aplicativos e serviços" via GPO

#1 resposta do (1 votos)

1

Minha equipe de monitoramento solicitou a capacidade de ler os registros em "Aplicativo e Serviços" no visualizador de eventos 2008/2012/2016. Esses são os logs que residem em "% SystemRoot% \ System32 \ Winevt \ Logs \". Especificamente, eles estão interessados no log "Operations Manager", que lida com a saúde e as atividades do cliente MS SCOM.

Eu tentei:

Adicionando-os ao grupo "Event Log Readers" em cada servidor via GPO. Isso permite que eles acessem o log de eventos do aplicativo e o log de eventos do sistema, mas não os outros logs.

Conceder acesso de leitura ao arquivo "% SystemRoot% \ System32 \ Winevt \ Logs \ Operations Manager.evtx"

Conceder acesso de leitura à pasta "% SystemRoot% \ System32 \ Winevt \ Logs \".

Nada disso ajudou, eles têm acesso negado.

A solução ideal seria implantável pelo GPO, não exigiria direitos de administrador e permitiria que eles se conectassem a um servidor remotamente por meio do Visualizador de Eventos sem passar pela Área de Trabalho Remota, pela linha de comando ou pelo PowerShell.

Estou preso. Qualquer ajuda é apreciada!

windows active-directory windows-event-log group-policy eventviewer

por KiltedBuckeye 25.01.2018 / 16:09

1 resposta

Tags windows active-directory windows-event-log group-policy eventviewer

exim4 permissão de chave compartilhada no Debian Timesyncd com servidor NTP usando md5

score 1 · Accepted Answer

A concessão de permissão para os arquivos não fornecerá acesso.

Se você achar que os Event Log Readers não têm acesso a nenhum dos logs em Logs de Aplicativos e Serviços, você pode criar uma lista dos nomes de log e usar o wevtutil para conceder sua permissão personalizada:

REM %%i in a cmd script, or %i if running interactively
FOR /F %%i in (Lognames.txt) DO (
  REM Event Log Readers (S-1-5-32-573) security principal
  wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
)

Você pode querer confirmar em quais Event Log Readers as contas foram adicionadas. Para servidores membros, eles precisam ser adicionados ao grupo local de leitores de log de eventos. Para controladores de domínio, o domínio incorporado no grupo de leitores de log de eventos.