Разрешения, необходимые для удаленного чтения сообщений журнала событий?
При работе под ограниченной учетной записью локальные сообщения журнала событий отображаются нормально, для удаленного компьютера я получаю эту ошибку:
The description for Event ID ( xxxxx ) in Source ( yyyyy ) cannot be found.
The local computer may not have the necessary registry information or message
DLL files to display messages from a remote computer. You may be able to use the
/AUXSOURCE= flag to retrieve this description; see Help and Support for details.
The following information is part of the event: zzzzz.
Тот же удаленный компьютер отлично работает под администратором домена. В настоящее время я экспериментирую только с Event Viewer, используя Run As. Первоначальной проблемой является сценарий PowerShell, который выполняет Get-EventLog.
Существуют ли какие-либо специальные разрешения, необходимые для удаленного чтения сообщений журнала событий? Предположительно, в Windows 2008 и выше есть простое решение, то есть просто добавьте пользователя в группу "Читатели журнала событий". Есть ли что-нибудь подобное для Windows 2003?
2 ответа
Я считаю, что проблема не столько в том, что пользователь не может прочитать журнал событий, но в том, что пользователь не может прочитать файлы сообщений журнала событий, которые используются для этих конкретных событий.
Моя запись в блоге может помочь пролить некоторый свет: http://www.eventlogblog.com/blog/2008/04/event-log-message-files-the-de.html.
В удаленной системе вам нужно будет определить файлы сообщений, которые используются конкретным источником событий, а затем убедиться, что пользователь, выполняющий сценарий powershell, имеет разрешение на чтение этих файлов.
Я не пробовал это, но это должно работать.
Это то, что существует для Windows 2003, хотя очень сложно и сложно поддерживать. Решение использует SDDL.