Warum erhalte ich mit Powershell get-winevent nicht autorisierte Fehler?

9

Ich bin ein Domänenadministrator-Äquivalent, habe versucht, in einer Konsole mit erhöhten Rechten auszuführen (Rechtsklick> Als Administrator ausführen), und beim Ausführen werden ständig Fehler angezeigt

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Ich werde dann drei Ergebniszeilen erhalten

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Dies scheint eine Neuentwicklung zu sein, habe diese Fehler noch nicht bekommen.

Es ist konsistent - wenn ich es mit -computername von einem anderen Server aus starte, enthält das Muster immer noch 3 OK-Zeilen, dann X Fehler, dann 5 OK-Zeilen usw.

powershell user-accounts user209162
quelle
1
Welches Betriebssystem und welche Version von PowerShell verwenden Sie? (gwmi Win32_OperatingSystem).VersionundGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
Wird dies von einer erhöhten Powershell-Eingabeaufforderung ausgeführt?
MDMoore313
Von get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Erfüllen Sie diese Anforderung?
Brice
1
Ja, das ist aus einer erhöhten Schale.
user209162

Antworten:

0

Kommt es bei anderen Ereignisprotokollen vor? Was ist beispielsweise, wenn Sie Folgendes ausführen, um Anmeldeereignisse mit bestimmten Ereignis-IDs anzuzeigen?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Wenn dies funktioniert, enthält das Anwendungsereignisprotokoll möglicherweise einige Elemente, auf die Sie keinen Zugriff haben. In diesem Fall müssten Sie so etwas wie Process Monitor verwenden , um herauszufinden, warum Ihr Zugriff verweigert wird.

Mit dem Parameter FilterHashtable erzielen Sie möglicherweise bessere Ergebnisse, wenn Sie die Filterkriterien an das Cmdlet Get-WinEvent übergeben. Beispiele finden Sie unter http://ss64.com/ps/get-winevent.html .

Greg Bray
quelle
0

Ich kann dies mit einem nicht administrativen Benutzer auf einem gesperrten System ausführen. Überprüfen Sie Ihre Berechtigungen und Überwachungsrichtlinien auf Ereignisprotokolle im Gruppenrichtlinienobjekt. Möglicherweise haben Sie es so eingestellt, dass NUR Auditoren die Protokolle sehen können. Viel Glück bei der Fehlerbehebung, wenn dies der Fall ist.

Xalorous
quelle
0

Ich hatte dieses Problem mit dem Sicherheitsprotokoll. Von einer Fernbedienung werden keine Einträge zurückgegeben get-winevent -logname security. Der Benutzer konnte über auf das Remote Security-Ereignisprotokoll zugreifen eventvwr.msc.

Das Update war ein Reg-Hack - fügen Sie diesem Schlüssel eine Berechtigung hinzu:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Ich habe die AD-Gruppe des Benutzers mit Lesezugriff hinzugefügt und get-wineventdanach einwandfrei gearbeitet.

KERR
quelle