Windows-Server-2008-R2

wevtutil 需要以管理員身份執行安全日誌(但不是系統),或如何以管理員身份執行任務

  • June 24, 2016

我正在使用此查詢來檢查我的 Windows 2008 R2 AD 主伺服器上的某些 Exchange 帳戶更改:

wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1

我正在製作一個批處理文件,以便使用任務計劃程序通過電子郵件將活動內容作為附件發送,如本文所述:http: //blogs.technet.com/b/jhoward/archive/2010/ 06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx

問題:我可以wevtutil qe System整天做,但如果我確實wevtutil qe Security需要,我需要在提升的命令提示符下(相同的域管理員使用者憑據,只是 CMD 以管理員身份執行)。因此,當我的計劃任務呼叫批處理文件時,即使該任務在 SYSTEM 帳戶下將選項設置為“以最高權限執行”,它也無法在提升的提示符下執行,這意味著它會遇到錯誤:“無法打開事件查詢。訪問被拒絕。”

所以這些事情中的任何一個都可以解決我的問題:

  1. 以某種方式打開安全日誌,使其類似於系統日誌,您不需要提升提示即可使用 wevtutil 訪問其內容
  2. 以某種方式在提升的提示中執行計劃任務操作
  3. 第三件事我沒有想到

使用屬於 Event Log Readers 組成員的帳戶。

引用自:https://serverfault.com/questions/567018