Я задал этот вопрос в SuperUser, но без особого успеха, поэтому публикую его здесь, чтобы посмотреть, сможет ли кто-нибудь помочь.
У нас есть центральный сервер syslog, и мы хотим, чтобы он захватывал события журнала событий с хостов Windows. Нас особенно интересует регистрация событий запуска/остановки служб. Мы установили «Eventlog to Syslog» на этих хостах Windows, и все отлично работает с хостами XP (события поступают из Service Control Manager). Однако у нас возникли проблемы с хостами Win2k. По какой-то причине события запуска/остановки служб не регистрируются в журнале событий для хостов Win2k. Я попросил другого друга из другой компании провести тестирование на хосте Win2k, и он получает события запуска/остановки на них. Я искал локальные политики аудита, которые мне нужно включить, но безуспешно. У кого-нибудь есть какие-нибудь идеи?
Заранее спасибо.
решение1
Попробуйте с syslogAgent (http://syslogserver.com/syslogagent.html), который не требует какой-либо специальной настройки (я не пробовал eventlog, поэтому не знаю).
Если снова не получится, то ваш демон аудита, вероятно, деактивирован. В противном случае проблема в конфигурациях журнала событий. (Возможно, это вам поможет)http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
решение2
Моим первым подозрением было бы, что что-то вроде служб COM+ или SENS отключено или сломано на ваших серверах W2K. Я не уверен, что какая-либо из них может вызвать вашу проблему, но это было бы хорошим местом для начала. Если вы все еще получаете события входа\выхода из системы на затронутых системах, то это, скорее всего, не является причиной, поскольку они будут отключены, если что-то не так с любой из этих служб. Возможно, стоит поработать со списком "стандартных"Службы Windows 2000 здесьчтобы увидеть, есть ли что-то важное, что либо отключено, либо не запускается.
Вы можете использоватьМонитор процессов SysInternalsчтобы попытаться сосредоточиться на чем-либо, что дает сбой при запуске\остановке некоторых служб. Это может не помочь в этом случае, но есть большая вероятность, что если есть ошибка или проблема с правами доступа, препятствующая регистрации событий, то Process Monitor должен сообщать об этом каждый раз, когда вы запускаете\останавливаете службы.
Другой подход, который может сработать, даже если вы не можете понять, как заставить события остановки\запуска сами генерировать события, заключается в том, чтобы включить аудит в службах. Если вы используете реальные учетные записи служб для самих служб, то вы должны иметь возможность перехватывать события входа\выхода учетной записи, связанные с запуском\остановкой соответствующих служб.Эта ссылка Technetдолжно помочь вам начать, если вы хотите попробовать это.