Ich habe diese Frage in SuperUser gestellt, allerdings ohne großen Erfolg, deshalb poste ich sie hier, um zu sehen, ob mir jemand helfen kann.
Wir haben einen zentralen Syslog-Server und möchten, dass dieser Ereignisprotokollereignisse von Windows-Hosts erfasst. Wir sind insbesondere an der Protokollierung von Start-/Stoppereignissen von Diensten interessiert. Wir haben „Eventlog to Syslog“ auf diesen Windows-Hosts installiert und alles funktioniert gut mit XP-Hosts (Ereignisse kommen vom Service Control Manager). Wir haben jedoch Probleme mit Win2k-Hosts. Aus irgendeinem Grund werden Start-/Stoppereignisse von Diensten nicht im Ereignisprotokoll für Win2k-Hosts protokolliert. Ich habe einen anderen Freund aus einer anderen Firma gebeten, auf einem Win2k-Host zu testen, und er erhält Start-/Stoppereignisse auf ihnen. Ich habe nach lokalen Überwachungsrichtlinien gesucht, die ich aktivieren muss, aber ohne viel Glück. Hat jemand eine Idee?
Dank im Voraus.
Antwort1
Versuchen Sie es mit syslogAgent (http://syslogserver.com/syslogagent.html), das keine spezielle Konfiguration erfordert (ich habe Eventlog nicht ausprobiert, also weiß ich es nicht).
Wenn es wieder fehlschlägt, ist Ihr Audit-Daemon wahrscheinlich deaktiviert. Andernfalls liegt das Problem an den Konfigurationen des Eventlogs. (Vielleicht hilft es Ihnenhttp://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
Antwort2
Mein erster Verdacht wäre, dass etwas wie die COM+- oder SENS-Dienste auf Ihren W2K-Servern deaktiviert oder defekt sind. Ich bin nicht sicher, ob einer dieser Dienste Ihr Problem verursacht, aber sie wären ein guter Ausgangspunkt. Wenn Sie auf den betroffenen Systemen immer noch Anmelde-/Abmeldeereignisse erhalten, ist dies wahrscheinlich nicht die Ursache, da diese deaktiviert werden, wenn mit einem dieser Dienste etwas nicht stimmt. Es könnte sich lohnen, die Liste der „Standard“-Dienste durchzugehen.Windows 2000-Dienste hierum zu sehen, ob etwas Wichtiges deaktiviert ist oder nicht gestartet werden kann.
Sie könnenSysInternals Prozessmonitorum herauszufinden, was beim Starten/Stoppen einiger Dienste fehlschlägt. In diesem Fall hilft das vielleicht nicht, aber wenn ein Fehler oder ein Zugriffsrechtproblem vorliegt, das die Protokollierung der Ereignisse verhindert, sollte Process Monitor dies jedes Mal melden, wenn Sie Dienste starten/stoppen.
Ein anderer Ansatz, der funktionieren könnte, selbst wenn Sie nicht herausfinden können, wie Sie die Stopp-/Startereignisse selbst zum Generieren von Ereignissen bringen, besteht darin, die Überwachung der Dienste zu aktivieren. Wenn Sie tatsächliche Dienstkonten für die Dienste selbst verwenden, sollten Sie in der Lage sein, die mit dem Starten/Stoppen der zugehörigen Dienste verbundenen Kontoanmelde-/Abmeldeereignisse abzufangen.Dieser Technet-Linksollte Ihnen den Einstieg erleichtern, wenn Sie dies ausprobieren möchten.