Windows

通過 GPO 授予對事件查看器“應用程序和服務日誌”的訪問權限

  • January 25, 2018

我的監控團隊要求能夠在 2008/2012/2016 事件查看器中讀取“應用程序和服務”下的日誌。這些是駐留在“%SystemRoot%\System32\Winevt\Logs\”中的日誌。具體來說,他們對“Operations Manager”日誌感興趣,該日誌處理 MS SCOM 客戶端的健康狀況和活動。

我試過了:

  • 通過 GPO 將它們添加到每個伺服器上的“事件日誌讀取器”組。這使他們可以訪問應用程序事件日誌和系統事件日誌,但不能訪問其他日誌。

  • 授予他們對“%SystemRoot%\System32\Winevt\Logs\Operations Manager.evtx”文件的讀取權限

  • 授予他們對“%SystemRoot%\System32\Winevt\Logs\”文件夾的讀取權限。

這些都沒有幫助,他們被拒絕訪問。

理想的解決方案將由 GPO 部署,不需要管理員權限,並允許他們通過事件查看器遠端連接到伺服器,而無需通過遠端桌面、命令行或 powershell。

我被困住了。任何幫助表示讚賞!

授予文件權限不會提供訪問權限。

如果您發現 Event Log Readers 無權訪問 Applications and Services Logs 下的任何日誌,您可以創建日誌名稱列表並使用 wevtutil 授予您的自定義權限:

REM %%i in a cmd script, or %i if running interactively
FOR /F %%i in (Lognames.txt) DO (
 REM Event Log Readers (S-1-5-32-573) security principal
 wevtutil sl %%i /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)
)

您可能需要確認帳戶已添加到哪些事件日誌閱讀器。對於成員伺服器,需要將它們添加到本地事件日誌讀取器組。對於域控制器,域內置事件日誌讀取器組。

引用自:https://serverfault.com/questions/894097