Questions tagged «windows-event-log»

“事件日志”通常是指Microsoft Windows计算机上的系统/服务器日志。

4
Windows Server重新启动/关闭历史记录
如何轻松查看Windows Server每次重新启动或关闭时的历史记录以及其原因(包括用户启动,系统启动和系统崩溃)的原因? Windows事件日志是一个明显的答案,但是我应查看的事件的完整列表是什么? 我发现这些帖子部分回答了我的问题: Windows Server的上次重新启动时间包含一些答案,部分回答了完整的重新启动历史记录 Windows Server 2008 R2下的“查看关机事件跟踪器”日志包含其他事件ID 计算机启动/启动时的事件日志时间包括一些相同的事件ID 但是这些内容并不能涵盖AFAIK的所有情况,而且该信息分散在多个答案中,因此很难理解。 我有Windows Server的多个版本,因此至少适用于2008、2008 R2、2012和2012 R2版本的解决方案是理想的。
5
在事件日志中未写入任何内容时,如何在IIS 7.5上诊断500 Internal Server Error?
我刚刚将更新部署到现有的ASP.NET MVC3站点(已经配置),并且正在收到IIS蓝屏死机说明 HTTP错误500.0-内部服务器错误 该页面无法显示,因为发生了内部服务器错误。 然而; 在应用程序事件日志中没有任何显示,我希望看到该条目的(更多)详细描述。 我该如何诊断该问题?
2
按用户和登录类型过滤安全日志
我被要求找出上周用户何时登录系统。现在,Windows中的审核日志应包含我需要的所有信息。我认为如果我使用特定的AD用户和登录类型2(交互式登录)搜索事件ID 4624(登录成功),它应该可以为我提供所需的信息,但是在我的生命中,我无法弄清楚如何进行实际过滤事件日志以获取此信息。是否可以在“事件查看器”内部使用,还是需要使用外部工具将其解析到此级别? 我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html,这似乎是我需要的一部分。我稍加修改,只给了我最近7天的价值。以下是我尝试过的XML。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> 它只给了我最后7天的时间,但其余的时间都无效。 有人可以协助我吗? 编辑 感谢Lucky Luke的建议,我一直在进步。以下是我当前的查询,尽管正如我将解释的那样,它不返回任何结果。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID='4624')] and System[TimeCreated[timediff(@SystemTime) <= 604800000]] and EventData[Data[@Name='TargetUserName']='john.doe'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> 正如我提到的,它没有返回任何结果,所以我一直在弄弄它。我可以得到它以正确产生结果,直到我在LogonType行中添加为止。在那之后,它不返回任何结果。知道为什么会这样吗? 编辑2 我将LogonType行更新为以下内容: EventData[Data[@Name='LogonType'] and (Data='2' …
6
Server 2008关于事件变量的电子邮件
Server 2008的新功能之一是能够将任务附加到事件日志中的特定事件。可用的操作之一是通过SMTP服务器发送电子邮件。 这很好用,但是如果可以在消息正文中放置事件内容,那将是理想的选择。我曾尝试使用$ eventdescription和%eventdescription%,但这些只是在黑暗中拍摄而已。任何数量的谷歌搜索都不会产生任何结果。 有人知道这是否可能吗? 更新:我认为,Sparks的以下建议是朝正确方向迈出的一步,但是该方法似乎不适用于所有值。例如,我可以如图所示拉出RecordID,Severity和Channel,但不能使用相同的方法检索EventID或最重要的描述。 这是一个事件的原始XML: [Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"] [System] [Provider Name="DFSR" /] [EventID Qualifiers="16384"]4412[/EventID] [Level]4[/Level] [Task]0[/Task] [Keywords]0x80000000000000[/Keywords] [TimeCreated SystemTime="2009-05-14T18:18:09.000Z" /] [EventRecordID]45692[/EventRecordID] [Channel]DFS Replication[/Channel] [Computer]servername.domain.com[/Computer] [Security /] [/System] [EventData] [Data]9046C3F4-843E-4A53-B941-4B20764072E5[/Data] [Data]D:\departments\Geomatics\Plan Quality\Data Processing\CG3533017 2009-05-13 KT FIXED[/Data] [Data]D:\departments[/Data] [Data]{26D5F604-E603-4F87-8EC3-DE9A945DA8FD}-v927199[/Data] [Data]Departments[/Data] [Data]domain.ca\files\departments[/Data] [Data]B8242CE2-F5EB-47DA-BA5B-1DD2F7EE3AB9[/Data] [Data]DFAA7A54-66CB-4C31-81A0-0F861382C32C[/Data] [Data]CG3533017 2009-05-13-{26D5F604-E603-4F87-8EC3-DE9A945DA8FD}-v927199[/Data] [/EventData] [/Event] 我曾尝试使用ValueQuery作为EventData,但它不返回任何数据。
3
Windows事件日志中超过4 GB的含义是什么?
我发现此Microsoft KB涵盖了Windows 2008 / Vista以下操作系统的建议最大事件日志设置,建议最大为4GB,并且还看到一些模糊的参考,至少不建议大于4 GB的事件日志2008 R2,但我想知道如果事件日志超出此大小会发生什么? 我已经在测试服务器(2012 R2)上超过了此限制,并且没有注意到内存占用率高之类的问题。我们不在乎2008 R2之前的操作系统,但想要一个大日志,因为我们正在通过许多机器收集事件Windows事件转发,希望将所有事件放在一个地方。
5
事件36888:生成了以下致命警报:10.内部错误状态为1203
我已经在网上搜索过,但是找不到任何信息;为什么会发生此错误? 它淹没了我的事件查看器:每隔1分钟,此错误就会不断弹出。(即频率为1分钟) 我没有安装任何IIS。 该服务器纯粹是域控制器,没有添加其他角色。 请建议我该怎么办? 服务器操作系统-Window Server 2008 R2 Standard Edition。 更多细节: Log Name: System Source: Schannel Date: 6/28/2012 6:06:11 PM Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: QKSRVDC212.Corp.abc.com Description: The following fatal alert was generated: 10. The internal error state is 1203. Event Xml: …
2
事件4625审核失败NULL SID失败的网络登录
在3个单独的系统中,以下事件在域控制器服务器上被记录多次(根据系统,一天之间在30至4,000次之间): An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: …
3
成千上万的类型为8登录类型(NetworkCleartext)的4625登录失败错误的根源是什么?
我有一个Windows Server 2008 R2系统,每天都会在Windows日志的“安全性”部分中显示数千个带有登录类型8(NetworkCleartext)的4625登录失败错误。源网络地址中没有列出试图获取访问权限的系统的IP地址,因此我为阻止经常失败的IP而构建的脚本找不到它们。 这些登录尝试可能来自什么服务? 这是其中之一的示例: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: Failure Information: Failure Reason: Unknown user name or …
3
Windows事件日志轮换?
Windows Server 2003。 有什么方法可以轻松旋转事件日志(或自动清除并保存)?我正在对这台计算机进行一些审核,并且我的安全日志很快变得非常真实,每隔两周我都必须记得保存并清除它。 是的,我可以依靠备份作业并启用覆盖功能……但是,如果我可以让Windows在容量接近极限时自动保存并清除日志,那就更好了。
2
服务器锁定,/ var / log / messages报告“超出了积压限制”
我们有一个CentOS操作系统,今天早上对外部网络流量变得无响应。它是一个虚拟机。我能够重启虚拟机。重新登录后,我在/ var / log / messages文件中发现以下内容,一遍又一遍,直到重新启动为止: Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed. Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.