Questions tagged «eventviewer»

该标签用于有关Windows事件查看器的问题。Windows是事件查看器,用于存储由操作系统和某些应用程序生成的日志。

2
找出谁禁用了Windows服务
我做了一些故障查找,并且我发现它应被设置为两个服务automatic都被设置为disabled。 找出谁这样做的最好方法是什么?可能是我公司的某人,也可能是客户端的某人。确定用户帐户就足够了。 我已经在Windows Event Viewer中进行了查看,但是老实说,我不确定要查找的内容,并且还有很多工作要做。一切都没有冲向我,但我怀疑只是我不知道我在寻找什么。
2
按用户和登录类型过滤安全日志
我被要求找出上周用户何时登录系统。现在,Windows中的审核日志应包含我需要的所有信息。我认为如果我使用特定的AD用户和登录类型2(交互式登录)搜索事件ID 4624(登录成功),它应该可以为我提供所需的信息,但是在我的生命中,我无法弄清楚如何进行实际过滤事件日志以获取此信息。是否可以在“事件查看器”内部使用,还是需要使用外部工具将其解析到此级别? 我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html,这似乎是我需要的一部分。我稍加修改,只给了我最近7天的价值。以下是我尝试过的XML。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> 它只给了我最后7天的时间,但其余的时间都无效。 有人可以协助我吗? 编辑 感谢Lucky Luke的建议,我一直在进步。以下是我当前的查询,尽管正如我将解释的那样,它不返回任何结果。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID='4624')] and System[TimeCreated[timediff(@SystemTime) <= 604800000]] and EventData[Data[@Name='TargetUserName']='john.doe'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> 正如我提到的,它没有返回任何结果,所以我一直在弄弄它。我可以得到它以正确产生结果,直到我在LogonType行中添加为止。在那之后,它不返回任何结果。知道为什么会这样吗? 编辑2 我将LogonType行更新为以下内容: EventData[Data[@Name='LogonType'] and (Data='2' …
2
“无法打开服务器服务性能对象。”
我有一组服务器都显示这些症状。每2-7天连续两次,在应用程序事件日志中会出现以下错误: Unable to open the Server service performance object. The first four bytes (DWORD) of the Data section contains the status code. 前四个字节是34 00 00 C0。事件ID为2004。 对此进行谷歌搜索总是会在Microsoft网站上找到此文档: http://technet.microsoft.com/zh-CN/library/cc727117(WS.10).aspx 但是,它声称要解决此问题,必须“重新启动服务器服务”。 “服务器”服务始终在运行,据我所知,从未在任何这些服务器上运行过。 有任何想法吗?
3
我可以为某些服务禁用Windows事件日志记录吗?
我们有一个旧应用程序在Azure的Windows Server 2008 VM上运行,每分钟左右就会向我们的Windows事件日志发送垃圾邮件。我无权访问源代码,而仅将事件代码写入事件日志中。我无法重写它,因为它是一个庞大的软件,可以满足我的需求。 所以我的问题是...我是否仍然需要阻止某些消息的事件源?显然,我不想阻止整个事件源的日志记录,因为它在发生错误时确实会记录有用的内容,只是这条特定的消息阻塞了我们的服务器日志,变得非常烦人!
5
事件36888:生成了以下致命警报:10.内部错误状态为1203
我已经在网上搜索过,但是找不到任何信息;为什么会发生此错误? 它淹没了我的事件查看器:每隔1分钟,此错误就会不断弹出。(即频率为1分钟) 我没有安装任何IIS。 该服务器纯粹是域控制器,没有添加其他角色。 请建议我该怎么办? 服务器操作系统-Window Server 2008 R2 Standard Edition。 更多细节: Log Name: System Source: Schannel Date: 6/28/2012 6:06:11 PM Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: QKSRVDC212.Corp.abc.com Description: The following fatal alert was generated: 10. The internal error state is 1203. Event Xml: …
1
大量失败审核:一个帐户无法在安全日志中完整登录
我的服务器上收到了很多故障审核。从日志中,我确定了罪魁祸首是特定的计算机。如何确定哪个进程正在发送登录请求? 你知道如何找出答案吗? 以下是日志的详细信息。 \ QKSRVDC212上的安全日志: [2465151] Microsoft-Windows-Security-Auditing Type: FAILURE AUDIT Computer: QKSRVDC212.Corp.abc.com Time: 7/26/2012 9:31:00 AM ID: 4625 An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: …
2
应用程序事件日志不断损坏
我最近问过有关修复损坏的事件日志的问题,因为它似乎是一次性事件。此后,事件日志已表现出3次相同的行为。我们一直在尝试寻找模式,但是到目前为止,我们什么都没有发现。该服务器运行几个ASP.NET应用程序和三个用.NET编写的计划任务。事件日志的上次修改日期曾经与计划的任务之一同时发生,但其他日期却没有。 关于下一步寻找什么建议,或者我们如何从损坏的evtx文件中获取任何信息? 该服务器正在运行关键的电子商务应用程序,因此我们希望将所需的重新启动次数保持在最少。 编辑:我运行了DUMPEL,并得到了非常奇怪的结果。 1/9/2012 4:14:05 PM 1 100 1000 Application Error N/A SERVERNAME Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8 Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58 Exception code: 0xc0000374 Fault offset: 0x000ce653 Faulting process id: 0x1070 Faulting application start time: 0x01cccf1386d30991 Faulting application path: …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.