Почему я получаю несанкционированные ошибки с Powershell get-winevent?

9

Я эквивалентен администратору домена, я пытался работать в консоли с повышенными правами (щелкните правой кнопкой мыши> запустить от имени администратора), и я постоянно получаю ошибки при выполнении

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Я получу три строки результата, тогда

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Похоже, что это новая разработка, ранее не было таких ошибок.

Это согласуется - если я запускаю его с -computername с другого сервера, шаблон все равно отправляет 3 строки OK, затем X ошибок, затем 5 строк OK и т. Д.

powershell user-accounts user209162
источник
1
Какую операционную систему и версию PowerShell вы используете? (gwmi Win32_OperatingSystem).VersionиGet-Host
Крис S
Windows Server 2008 R2 + SP1, Powershell 2.0
пользователь209162,
это запускается из командной строки с повышенными полномочиями?
MDMoore313
От get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Вы соответствуете этому требованию?
Брайс
1
Да, это от повышенной оболочки.
user209162

Ответы:

0

Это происходит с другими журналами событий? Например, что если вы выполните следующее для просмотра событий входа в систему с определенными идентификаторами событий ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Если это работает, в журнале событий приложения могут быть элементы, к которым у вас нет доступа. В этом случае вам придется использовать что-то вроде Process Monitor, чтобы узнать, почему ваш доступ запрещен.

Вы можете получить лучшие результаты, используя параметр FilterHashtable, чтобы передать критерии фильтра командлету Get-WinEvent. См. Http://ss64.com/ps/get-winevent.html примеры.

Грег Брей
источник
0

Я могу запустить это с неадминистративным пользователем в заблокированной системе. Проверьте свои разрешения и политики аудита для журналов событий в GPO. Вы можете установить его так, чтобы только аудиторы могли видеть журналы. Удачи в устранении неполадок, если это так.

Xalorous
источник
0

У меня была эта проблема с журналом безопасности. Записи не будут возвращены с удаленного get-winevent -logname security. Пользователь смог получить доступ к удаленному журналу событий безопасности через eventvwr.msc.

Исправление было обычным хаком - добавьте разрешение для этого ключа:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Я добавил группу AD пользователя с доступом для чтения и get-wineventпрекрасно работал после этого.

KERR
источник