Syslog - capturando logs de eventos de caixas Win2k

Question 1

Tente com syslogAgent (http://syslogserver.com/syslogagent.html) que não precisa de nenhuma configuração especial (não tentei o eventlog, então não sei).

Se falhar novamente, seu deamon de auditoria provavelmente será desativado. Caso contrário, o problema são as configurações do eventlog. (Talvez isso te ajudehttp://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)

Answer

Tente com syslogAgent (http://syslogserver.com/syslogagent.html) que não precisa de nenhuma configuração especial (não tentei o eventlog, então não sei).

Se falhar novamente, seu deamon de auditoria provavelmente será desativado. Caso contrário, o problema são as configurações do eventlog. (Talvez isso te ajudehttp://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)

Question 2

Minha suspeita inicial seria que algo como os serviços COM+ ou SENS estão desabilitados ou quebrados em seus servidores W2K. Não tenho certeza de que algum deles possa causar o seu problema, mas seria um bom lugar para começar. Se você ainda estiver recebendo eventos de logon\logoff nos sistemas afetados, provavelmente essa não será a causa, pois eles serão desativados se algo estiver errado com qualquer um desses serviços. Pode valer a pena trabalhar na lista de "padrão"Serviços do Windows 2000 aquipara ver se há algo significativo que esteja desativado ou não seja iniciado.

Você pode usarMonitor de processos SysInternalspara tentar se concentrar em qualquer coisa que esteja falhando quando você inicia\para alguns serviços. Pode não ser possível ajudar neste caso, mas há uma boa chance de que, se houver um erro ou um problema de direitos de acesso que impeça o registro dos eventos, o Process Monitor deverá relatar isso sempre que você iniciar/interromper os serviços.

Outra abordagem que pode funcionar, mesmo que você não consiga descobrir como fazer com que os próprios eventos stop\start gerem eventos, é habilitar a auditoria nos serviços. Se você estiver usando contas de serviço reais para os próprios serviços, poderá capturar os eventos de logon/logoff da conta associados ao início/interrupção dos serviços associados.Este link do Technetdeve começar se você quiser tentar isso.

Answer

Minha suspeita inicial seria que algo como os serviços COM+ ou SENS estão desabilitados ou quebrados em seus servidores W2K. Não tenho certeza de que algum deles possa causar o seu problema, mas seria um bom lugar para começar. Se você ainda estiver recebendo eventos de logon\logoff nos sistemas afetados, provavelmente essa não será a causa, pois eles serão desativados se algo estiver errado com qualquer um desses serviços. Pode valer a pena trabalhar na lista de "padrão"Serviços do Windows 2000 aquipara ver se há algo significativo que esteja desativado ou não seja iniciado.

Você pode usarMonitor de processos SysInternalspara tentar se concentrar em qualquer coisa que esteja falhando quando você inicia\para alguns serviços. Pode não ser possível ajudar neste caso, mas há uma boa chance de que, se houver um erro ou um problema de direitos de acesso que impeça o registro dos eventos, o Process Monitor deverá relatar isso sempre que você iniciar/interromper os serviços.

Outra abordagem que pode funcionar, mesmo que você não consiga descobrir como fazer com que os próprios eventos stop\start gerem eventos, é habilitar a auditoria nos serviços. Se você estiver usando contas de serviço reais para os próprios serviços, poderá capturar os eventos de logon/logoff da conta associados ao início/interrupção dos serviços associados.Este link do Technetdeve começar se você quiser tentar isso.

Syslog - capturando logs de eventos de caixas Win2k

Responder1

Responder2

informação relacionada