Perché ricevo errori non autorizzati con Powershell get-winevent?

9

Sono un equivalente di amministratore di dominio, ho provato a correre in una console elevata (tasto destro> esegui come amministratore) e ricevo costantemente errori durante l'esecuzione

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Prenderò tre righe di risultato, quindi

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Questo sembra essere un nuovo sviluppo, non ho ottenuto quegli errori prima.

È coerente - se lo eseguo con -computername da un altro server, il modello continua a 3 linee OK, quindi a errori X, quindi a 5 linee OK, ecc.

powershell  user-accounts 
user209162
fonte
1
Quale sistema operativo e versione di PowerShell stai utilizzando? (gwmi Win32_OperatingSystem).VersioneGet-Host
Chris S,
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
viene eseguito da un prompt PowerShell elevato?
MDMoore313,
Da get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Soddisfa questo requisito?
Brice,
1
Sì, questo proviene da un guscio elevato.
user209162,

Risposte:

0

Succede con altri registri eventi? Ad esempio, se si esegue quanto segue per visualizzare gli eventi di accesso con ID evento specifici ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Se funziona, potrebbero esserci alcuni elementi nel registro eventi dell'applicazione a cui non hai accesso. In tal caso dovresti utilizzare qualcosa come Process Monitor per scoprire perché l'accesso è stato negato.

È possibile ottenere risultati migliori utilizzando il parametro FilterHashtable per passare i criteri di filtro al cmdlet Get-WinEvent. Vedi http://ss64.com/ps/get-winevent.html per esempi.

Greg Bray
fonte
0

Posso eseguirlo con un utente non amministrativo su un sistema bloccato. Controllare le autorizzazioni e le politiche di controllo per i registri eventi nell'oggetto Criteri di gruppo. È possibile che sia impostato in modo che SOLO i revisori possano vedere i registri. Buona fortuna, se questo è il caso.

Xalorous
fonte
0

Ho avuto questo problema con il registro di sicurezza. Nessuna voce verrà restituita da un telecomando get-winevent -logname security. L'utente è stato in grado di accedere al registro eventi di sicurezza remota tramite eventvwr.msc.

La correzione era un hack reg: aggiungi un'autorizzazione a questa chiave:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Ho aggiunto il gruppo AD dell'utente con accesso in lettura e get-wineventdopo ho funzionato perfettamente.

KERR
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.