Mengapa saya mendapatkan kesalahan tidak sah dengan Powershell get-winevent?

9

Saya setara dengan admin domain, Saya sudah mencoba menjalankan di konsol yang ditinggikan (klik kanan> jalankan sebagai administrator), dan saya secara konsisten mendapatkan kesalahan saat menjalankan

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Saya akan mendapatkan tiga baris hasil, lalu

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Ini tampaknya merupakan perkembangan baru, belum pernah kesalahan itu sebelumnya.

Ini konsisten - jika saya menjalankannya dengan -computername dari server lain, polanya masih berjalan 3 baris OK, lalu X error, lalu 5 baris OK, dll.

powershell user-accounts pengguna209162
sumber
1
Sistem operasi dan versi PowerShell apa yang Anda jalankan? (gwmi Win32_OperatingSystem).VersiondanGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
Apakah ini dijalankan dari prompt powershell tinggi?
MDMoore313
Dari get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Apakah Anda memenuhi persyaratan ini?
Brice
1
Ya, ini dari shell yang ditinggikan.
user209162

Jawaban:

0

Apakah ini terjadi dengan Log Kejadian lainnya? Misalnya, bagaimana jika Anda menjalankan yang berikut untuk melihat acara masuk dengan ID acara tertentu ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Jika itu berhasil mungkin ada beberapa item dalam log peristiwa aplikasi yang Anda tidak memiliki akses. Dalam hal ini Anda harus menggunakan sesuatu seperti Process Monitor untuk mencari tahu mengapa akses Anda ditolak.

Anda mungkin mendapatkan hasil yang lebih baik menggunakan parameter FilterHashtable untuk meneruskan kriteria filter ke cmdlet Get-WinEvent. Lihat http://ss64.com/ps/get-winevent.html untuk contoh.

Greg Bray
sumber
0

Saya dapat menjalankan ini dengan pengguna non-administratif pada sistem yang terkunci. Periksa izin dan kebijakan audit Anda untuk log peristiwa di GPO. Anda mungkin telah mengaturnya sehingga HANYA auditor dapat melihat log. Semoga berhasil mengatasi masalah jika itu masalahnya.

Xalorous
sumber
0

Saya mengalami masalah ini dengan log Keamanan. Tidak ada entri yang akan dikembalikan dari jarak jauh get-winevent -logname security. Pengguna dapat mengakses eventlog keamanan jarak jauh via eventvwr.msc.

Cara mengatasinya adalah reg hack - tambahkan izin ke kunci ini:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Saya menambahkan grup AD pengguna dengan akses baca dan get-wineventbekerja dengan sempurna setelah itu.

KERR
sumber