我使用此查詢來檢查 Windows 2008 R2 AD 主伺服器上的某些 Exchange 帳戶變更:
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
我正在用它製作一個批次文件,以便使用任務計劃程序透過電子郵件將活動內容作為附件發送,如本文所述: http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
問題:我可以wevtutil qe System整天做,但如果我確實wevtutil qe Security需要,我需要處於提升的命令提示字元(相同的網域管理員使用者憑證,只是以管理員身分執行 CMD)。因此,當我的計劃任務調用批次檔時,即使該任務在SYSTEM 帳戶下將選項設為“以最高權限運行”,它也無法在提升的提示下運行,這意味著它會遇到錯誤:“無法開啟事件查詢被拒絕。”
所以這些事情之一可以解決我的問題:
以某種方式開啟安全性日誌,就像系統日誌一樣,您不需要提升的提示即可使用 wevtutil 存取其內容
以某種方式在提升的提示符號下執行排程任務操作
第三件事我沒想到
答案1
使用屬於事件日誌讀取者群組成員的帳戶。