나는 별 운 없이 슈퍼유저에게 이 질문을 했고 누군가 도움을 줄 수 있는지 알아보기 위해 여기에 게시하고 있습니다.
우리는 중앙 syslog 서버를 가지고 있고 그것이 Windows 호스트로부터 이벤트 로그 이벤트를 캡처하길 원합니다. 특히 서비스 시작/중지 이벤트 로깅에 관심이 있습니다. 이러한 Windows 호스트에 "Eventlog to Syslog"를 설치했으며 모두 XP 호스트에서 잘 작동합니다(이벤트는 서비스 제어 관리자에서 제공됨). 그러나 Win2k 호스트에 문제가 있습니다. 어떤 이유로 서비스 시작/중지 이벤트가 Win2k 호스트의 이벤트 로그에 기록되지 않습니다. Win2k 호스트에서 테스트하기 위해 다른 회사의 다른 친구를 구했는데 그 친구는 해당 친구에 대한 시작/중지 이벤트를 받았습니다. 활성화해야 하는 로컬 감사 정책을 검색했지만 운이 별로 좋지 않았습니다. 누구든지 아이디어가 있나요?
미리 감사드립니다.
답변1
syslogAgent를 사용해 보십시오(http://syslogserver.com/syslogagent.html) 특별한 구성이 필요하지 않습니다(이벤트로그를 사용해 본 적이 없어서 모르겠습니다).
다시 실패하면 감사 데몬이 비활성화될 수도 있습니다. 그렇지 않으면 문제는 이벤트 로그의 구성입니다. (어쩌면 도움이 될지도 몰라http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
답변2
나의 초기 의심은 W2K 서버에서 COM+ 또는 SENS 서비스와 같은 서비스가 비활성화되거나 손상되었다는 것입니다. 이들 중 하나가 문제를 일으킬지는 확실하지 않지만 시작하기에 좋은 곳이 될 것입니다. 영향을 받는 시스템에서 여전히 로그온\로그오프 이벤트가 발생하는 경우 이러한 서비스 중 하나에 문제가 있으면 해당 시스템이 비활성화되므로 이는 원인이 아닐 가능성이 높습니다. "표준" 목록을 살펴보는 것이 좋습니다.Windows 2000 서비스는 여기에 있습니다.비활성화되었거나 시작하지 못하는 중요한 문제가 있는지 확인합니다.
당신이 사용할 수있는SysInternals 프로세스 모니터일부 서비스를 시작/중지할 때 실패하는 모든 것을 해결하려고 시도합니다. 이 경우 도움이 되지 않을 수도 있지만 오류나 액세스 권한 문제로 인해 이벤트가 기록되지 않는 경우 프로세스 모니터는 서비스를 시작/중지할 때마다 이를 보고해야 할 가능성이 높습니다.
중지\시작 이벤트 자체를 가져와 이벤트를 생성하는 방법을 알 수 없는 경우에도 작동할 수 있는 또 다른 접근 방식은 서비스에 대한 감사를 활성화하는 것입니다. 서비스 자체에 대해 실제 서비스 계정을 사용하는 경우 관련 서비스 시작/중지와 관련된 계정 로그온\로그오프 이벤트를 트랩할 수 있어야 합니다.이 Technet 링크이것을 시도하고 싶다면 시작해야 합니다.