我在超級用戶中問了這個問題,但運氣不佳,因此我將其發佈在這裡,看看是否有人可以提供幫助。
我們有一個中央系統日誌伺服器,我們希望它能夠捕獲來自 Windows 主機的事件日誌事件。我們對記錄服務啟動/停止事件特別感興趣。我們在這些 Windows 主機上安裝了“Eventlog to Syslog”,並且在 XP 主機上運作良好(事件來自服務控制管理員)。然而,我們在使用 Win2k 主機時遇到了問題。由於某些原因,服務啟動/停止事件不會記錄在 Win2k 主機的事件日誌中。我讓另一家公司的另一位朋友在 Win2k 主機上進行測試,他確實在主機上獲得了啟動/停止事件。我四處尋找我需要啟用的本地審計策略,但運氣不佳。有人有主意嗎?
提前致謝。
答案1
嘗試使用 syslogAgent (http://syslogserver.com/syslogagent.html)不需要任何特殊配置(我沒有嘗試過 eventlog 所以我不知道)。
如果再次失敗,那麼您的審計守護程序可能會被停用。否則,問題出在 eventlog 的配置。 (也許對你有幫助http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
答案2
我最初懷疑您的 W2K 伺服器上的 COM+ 或 SENS 服務等服務已停用或損壞。我不確定其中任何一個都會導致您的問題,但它們將是一個很好的起點。如果您仍然在受影響的系統上收到登入\登出事件,那麼這不太可能是原因,因為如果這些服務中的任何一個出現問題,這些事件將被停用。可能值得研究一下「標準」列表Windows 2000 服務在這裡查看是否有任何重要的內容已停用或無法啟動。
您可以使用SysInternals進程監視器嘗試將啟動/停止某些服務時出現的任何失敗歸零。在這種情況下,它可能無法提供幫助,但很有可能,如果存在錯誤或存取權限問題阻止記錄事件,則進程監視器應該在每次啟動\停止服務時報告該情況。
即使您不知道如何讓停止\啟動事件本身產生事件,另一種可能有效的方法是啟用對服務的審核。如果您對服務本身使用實際的服務帳戶,那麼您應該能夠捕獲與啟動\停止相關服務相關的帳戶登入\登出事件。此 Technet 連結如果你想嘗試這個,應該可以幫助你開始。