%E3%80%82%E3%81%BE%E3%81%9F%E3%81%AF%E3%82%BF%E3%82%B9%E3%82%AF%E3%81%AE%E7%AE%A1%E7%90%86%E8%80%85%E3%81%A8%E3%81%97%E3%81%A6%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95.png)
このクエリを使用して、Windows 2008 R2 AD プライマリ上の特定の Exchange アカウントの変更を確認しています。
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
次の投稿で説明されているように、タスク スケジューラを使用してイベントの内容を電子メールの添付ファイルとして送信するために、バッチ ファイルを作成しています。 http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
wevtutil qe System問題は、一日中実行できるが、wevtutil qe Security必要な場合は、管理者特権のコマンド プロンプト (同じドメイン管理者ユーザー資格情報、管理者として実行された CMD) で実行する必要があることです。そのため、スケジュールされたタスクがバッチ ファイルを呼び出すと、タスクが SYSTEM アカウントで「最高権限で実行」するようにオプションを設定しているにもかかわらず、管理者特権のプロンプトで実行できず、エラーが発生します: 「イベント クエリを開けませんでした。アクセスが拒否されました。」
したがって、次のいずれかの方法で問題を解決できます。
セキュリティ ログをシステム ログのように開き、wevtutil を使用してその内容にアクセスするために管理者特権のプロンプトを必要としないようにします。
何らかの方法で、管理者権限のプロンプトでスケジュールされたタスクアクションを実行します。
考えていなかった3つ目のこと
答え1
イベント ログ リーダー グループのメンバーであるアカウントを使用します。