为什么Powershell get-winevent会出现未经授权的错误?

9

我是等效的域管理员,我尝试在提升的控制台中运行(右键单击>以管理员身份运行),并且在执行时始终出现错误

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

我将得到三行结果,然后

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

这似乎是一个新的发展,以前从未犯过这些错误。

这是一致的-如果我从另一台服务器使用-computername运行它,该模式仍然会出现3行,然后是X错误,然后是5行,等等。

powershell  user-accounts 
用户名
source
1
您正在运行什么操作系统和PowerShell版本?(gwmi Win32_OperatingSystem).VersionGet-Host
克里斯S
Windows Server 2008 R2 + SP1,Powershell 2.0
user209162 2014年
这是从提升的Powershell提示运行的吗?
MDMoore313 2014年
get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.你满足这个需求量的?
布莱斯
1
是的,这是从高架外壳上获得的。
user209162 2014年

Answers:

0

它是否与其他事件日志一起发生?例如,如果您运行以下命令以查看具有特定事件ID的登录事件怎么办?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

如果可行,则应用程序事件日志中可能有一些您无权访问的项目。在这种情况下,您将不得不使用诸如Process Monitor之类的工具来找出为什么拒绝您的访问。

使用FilterHashtable参数将筛选条件传递给Get-WinEvent cmdlet,可能会得到更好的结果。有关示例,请参见http://ss64.com/ps/get-winevent.html

格雷格·布雷
source
0

我可以在锁定的系统上以非管理用户身份运行此程序。检查您的权限和审核策略以获取GPO中的事件日志。您可能已经设置好了,因此只有审核员才能看到日志。如果是这种情况,请进行故障排除。

Xalorous
source
0

我的安全日志有此问题。远程不会返回任何条目get-winevent -logname security。用户可以通过访问远程安全事件日志eventvwr.msc

该修复程序是reg hack-向此密钥添加权限:

HKLM\System\CurrentControlSet\Services\eventlog\Security

我添加了具有读取访问权限的用户AD组,get-winevent此后运行良好。

克尔
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.