GPO)を介してイベントビューアの「アプリケーションとサービスログ」へのアクセスを許可する
私の監視チームは、2008/2012/2016イベントビューアの「アプリケーションとサービス」の下にあるログを読み取れるように要求しました。これらは、「%SystemRoot%\ System32\Winevt\Logs \」にあるログです。具体的には、MSSCOMクライアントの状態とアクティビティを処理する「OperationsManager」ログに関心があります。
私はもう試した:
これらはどれも役に立ちませんでした。アクセスが拒否されました。
理想的なソリューションは、GPOによって展開可能であり、管理者権限を必要とせず、リモートデスクトップ、コマンドライン、またはPowerShellを経由せずにイベントビューアーを介してサーバーにリモート接続できるようにします。
私は立ち往生しています。どんな助けでも大歓迎です!
ファイルにアクセス許可を付与しても、アクセスは提供されません。
イベントログリーダーが[アプリケーションとサービスのログ]の下のどのログにもアクセスできない場合は、ログ名のリストを作成し、wevtutilを使用してカスタム権限を付与できます。
REM %%i in a cmd script, or %i if running interactively
FOR /F %%i in (Lognames.txt) DO (
REM Event Log Readers (S-1-5-32-573) security principal
wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
)
アカウントが追加されたイベントログリーダーを確認することをお勧めします。メンバーサーバーの場合は、ローカルのイベントログリーダーグループに追加する必要があります。ドメインコントローラーの場合、ドメインに組み込まれているイベントログリーダーグループ。