%2C%20%D0%B8%D0%BB%D0%B8%20%D0%BA%D0%B0%D0%BA%20%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D1%82%D0%B8%D1%82%D1%8C%20%D0%BE%D1%82%20%D0%B8%D0%BC%D0%B5%D0%BD%D0%B8%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0%20%D0%B4%D0%BB%D1%8F%20%D0%B7%D0%B0%D0%B4%D0%B0%D1%87%D0%B8.png)
Я использую этот запрос для проверки определенных изменений учетной записи Exchange на моем основном сервере AD Windows 2008 R2:
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
Я создам из этого пакетный файл, чтобы отправить содержимое события в виде вложения по электронной почте с помощью Планировщика заданий, как описано в этом посте: http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
Проблема: я могу делать это wevtutil qe Systemвесь день, но если я делаю wevtutil qe Securityтак, как мне нужно, мне нужно быть в командной строке с повышенными правами (те же учетные данные администратора домена, просто CMD запущен от имени администратора). Поэтому, когда моя запланированная задача вызывает пакетный файл, даже если у задачи есть опция, установленная на «запуск с наивысшими привилегиями» под учетной записью SYSTEM, она не запускается в командной строке с повышенными правами, то есть возникает ошибка: «Не удалось открыть запрос событий. Доступ запрещен».
Итак, один из этих вариантов может решить мою проблему:
Откройте журнал безопасности, чтобы он был похож на системный журнал, и вам не нужны повышенные привилегии для доступа к его содержимому с помощью wevtutil.
Запустите действие «Запланированная задача» в командной строке с повышенными привилегиями, каким-либо образом
Что-то третье, о чем я не подумал.
решение1
Используйте учетную запись, которая является членом группы читателей журнала событий.