Por que estou recebendo erros não autorizados com o Powershell get-winevent?

9

Sou equivalente a um administrador de domínio, tentei executar em um console elevado (clique com o botão direito do mouse> executar como administrador) e estou constantemente recebendo erros ao executar

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Eu vou ter três linhas de resultado, então

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Este parece ser um novo desenvolvimento, mas não obtive esses erros antes.

É consistente - se eu executá-lo com -computername de outro servidor, o padrão continua com 3 linhas OK, erros X, 5 linhas OK, etc.

powershell user-accounts user209162
fonte
1
Qual sistema operacional e versão do PowerShell você está executando? (gwmi Win32_OperatingSystem).VersioneGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
isso está sendo executado a partir de um prompt do PowerShell elevado?
MDMoore313
De get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Você atende a esse requisito?
Brice
1
Sim, isso é de uma concha elevada.
user209162

Respostas:

0

Isso acontece com outros logs de eventos? Por exemplo, e se você executar o seguinte para visualizar eventos de login com IDs de eventos específicos ?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Se isso funcionar, pode haver alguns itens no log de eventos do aplicativo aos quais você não tem acesso. Nesse caso, você precisaria usar algo como o Monitor de Processo para descobrir por que seu acesso está sendo negado.

Você pode obter melhores resultados usando o parâmetro FilterHashtable para passar os critérios de filtro para o cmdlet Get-WinEvent. Veja http://ss64.com/ps/get-winevent.html para exemplos.

Greg Bray
fonte
0

Eu posso executar isso com um usuário não administrativo em um sistema bloqueado. Verifique suas permissões e políticas de auditoria para logs de eventos no GPO. Você pode configurá-lo para que SOMENTE os auditores possam ver os logs. Boa sorte na solução de problemas, se for esse o caso.

Xalorous
fonte
0

Eu tive esse problema com o log de segurança. Nenhuma entrada seria retornada de um controle remoto get-winevent -logname security. O usuário pôde acessar o log de eventos de segurança remota via eventvwr.msc.

A correção foi um registro hack - adicione uma permissão a esta chave:

HKLM\System\CurrentControlSet\Services\eventlog\Security

Eu adicionei o grupo AD do usuário com acesso de leitura e get-wineventfuncionou perfeitamente depois disso.

KERR
fonte