Не могу включить журнал событий
Привет, у меня есть Windows 2012 Server, и я хотел бы вести журнал событий.
Но когда я перехожу в журнал событий, я не могу включить ведение журнала для желаемые события. (я вошел в систему как администратор)
Все выделено серым цветом, путь к журналу недоступен (это единственное, что я могу изменить, но он не сохраняется, когда я нажимаю «ок» )
Я попытался щелкнуть правой кнопкой мыши по журналу событий и выбрать «Включить журнал», но это не сработало. Я попытался включить аудит в GPO, но это тоже не сработало.
Я просматривал GPO и Register, но не нашел ничего связанного. Как я могу включить ведение журнала на сервере?
Еще одна странность заключается в том, что в разделе «Журналы приложений и служб» отображается множество других приложений, что обычно не так. Обычно есть только подпапка Microsoft.
Извините за то, что у меня нет точного ответа, но я не смог воспроизвести это в 2008 и 2012r2 - все журналы в Microsoft имеют редактируемые параметры. Таких папок журналов у меня тоже нет ни на одном из проверенных мною ПК. Возникает вопрос, что, черт возьми, все это создало. Строчные буквы «microsoft» под стандартным «Microsoft» - это для меня красный флаг.
Как бы то ни было, все события Microsoft находятся в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WINEVT \ Channels . Для каждого из них есть параметр Включить , поэтому вы можете прибегнуть к его непосредственному изменению, чтобы включить журнал. Тот факт, что ваш вариант выделен серым цветом, заставляет меня думать, что это либо проблема с разрешениями реестра, либо проблема с разрешением ChannelAccess (в каждом журнале определена строка разрешения Windows, что для меня новость, поскольку журнал событий не предоставляет какой-либо пользовательский интерфейс разрешений) . Я бы также попробовал запустить eventvwr.exe как СИСТЕМУ с помощью PsExec.
Путь к журналу для этого конкретного журнала, который вы сделали снимок экрана, должен быть % SystemRoot% \ System32 \ Winevt \ Logs \ Microsoft-Windows-TerminalServices-LocalSessionManager% 4Operational. evtx . Я бы также проверил, не повреждены ли разрешения - и фактические файлы - в этой папке. Понятия не имею, что заставляет его сказать «Недоступно». Этот путь не сохраняется в реестре, по крайней мере, не очевидным образом, что делает его еще более странным.
Недавно столкнулся с этой проблемой с журналами событий приложений, безопасности и системы на компьютерах, где у нас был сценарий, применяющий AutoBackupLogFiles и Flags DWORD к HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogApplication, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogSystem и HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogSecurity. По какой-то причине несколько машин показывали эти значения в виде strings, а не DWORD. Если какое-либо из значений задано как String, в свойствах журнала событий будет отображаться путь к Not Available, и вы не сможете настроить ни один из параметров.
Удаление флагов реестра и/или элемента AutoBackupLogFiles String и замена аналогичного элемента DWORD должны решить проблему.