1 votes

KiltedBuckeye avatar

Accorder l'accès à l'observateur d'événements "Application and Services Logs" via GPO

Demandé el 25 de Janvier, 2018
Quand la question a-t-elle été
3290 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon équipe de surveillance a demandé à pouvoir lire les journaux sous "Application et services" dans le visualisateur d'événements 2008/2012/2016. Ce sont les journaux qui résident dans "%SystemRoot%". \System32\Winevt\Logs\ ". Plus précisément, ils sont intéressés par le journal "Operations Manager", qui traite de la santé et des activités du client MS SCOM.

J'ai essayé :

  • En les ajoutant au groupe "Event Log Readers" sur chaque serveur via GPO. Cela leur permet d'accéder au journal des événements de l'application et au journal des événements du système, mais pas aux autres journaux.
  • En leur accordant un accès en lecture au répertoire "%SystemRoot%". \System32\Winevt\Logs\Operations Fichier "Manager.evtx
  • En leur accordant un accès en lecture au répertoire "%SystemRoot%". \System32\Winevt\Logs\ dossier ".

Rien de tout cela n'a aidé, ils obtiennent un accès refusé.

La solution idéale serait déployable par GPO, ne nécessiterait pas de droits d'administrateur et permettrait de se connecter à un serveur à distance via Event Viewer sans passer par Remote Desktop, la ligne de commande ou powershell.

Je suis coincé. Toute aide est la bienvenue !

Demandé el 25 de Janvier, 2018 par KiltedBuckeye

Réponse

Trop de publicités?

1voto

Thecamelcoder avatar
Thecamelcoder Points 11

Accorder la permission aux fichiers ne va pas permettre l'accès.

Si vous constatez que Event Log Readers n'a pas accès à l'un des journaux sous Applications and Services Logs, vous pouvez créer une liste des noms des journaux et utiliser wevtutil pour accorder votre permission personnalisée :

REM %%i in a cmd script, or %i if running interactively
FOR /F %%i in (Lognames.txt) DO (
  REM Event Log Readers (S-1-5-32-573) security principal
  wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
)

Il se peut que vous souhaitiez confirmer à quels lecteurs du journal des événements les comptes ont été ajoutés. Pour les serveurs membres, ils doivent être ajoutés au groupe local Event Log Readers. Pour les contrôleurs de domaine, le groupe Event Log Readers intégré au domaine.

Répondu el 25 de Janvier, 2018 par Thecamelcoder (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X