%EB%A5%BC%20%EC%9C%84%ED%95%B4%20%EA%B4%80%EB%A6%AC%EC%9E%90%20%EA%B6%8C%ED%95%9C%EC%9C%BC%EB%A1%9C%20%EC%8B%A4%ED%96%89%EC%9D%B4%20%ED%95%84%EC%9A%94%ED%95%98%EA%B1%B0%EB%82%98%20%EC%9E%91%EC%97%85%EC%9D%84%20%EC%9C%84%ED%95%B4%20%EA%B4%80%EB%A6%AC%EC%9E%90%20%EA%B6%8C%ED%95%9C%EC%9C%BC%EB%A1%9C%20%EC%8B%A4%ED%96%89%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%B4%20%ED%95%84%EC%9A%94%ED%95%A9%EB%8B%88%EB%8B%A4..png)
이 쿼리를 사용하여 Windows 2008 R2 AD 기본에서 특정 Exchange 계정 변경 사항을 확인하고 있습니다.
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
이 게시물에 설명된 대로 작업 스케줄러를 사용하여 이메일을 통해 이벤트 내용을 첨부 파일로 보내기 위해 배치 파일을 만들고 있습니다. http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
문제: wevtutil qe System하루 종일 할 수 있지만 wevtutil qe Security필요하다면 관리자 권한 명령 프롬프트(동일한 도메인 관리자 사용자 자격 증명, CMD가 관리자 권한으로 실행됨)에 있어야 합니다. 따라서 예약된 작업이 배치 파일을 호출하면 해당 작업의 옵션이 SYSTEM 계정에서 "가장 높은 권한으로 실행"으로 설정되어 있어도 관리자 권한 프롬프트에서 실행되지 않습니다. 즉, "열지 못했습니다."라는 오류가 발생합니다. 이벤트 쿼리입니다. 액세스가 거부되었습니다."
따라서 다음 중 하나를 사용하여 문제를 해결할 수 있습니다.
wevtutil을 사용하여 내용에 액세스하기 위해 관리자 권한 프롬프트가 필요하지 않은 시스템 로그처럼 보안 로그를 엽니다.
어떻게든 관리자 프롬프트에서 예약된 작업 작업을 실행합니다.
세 번째로 생각하지 못한 것
답변1
이벤트 로그 판독기 그룹의 구성원인 계정을 사용하십시오.