web-dev-qa-db-ja.com

イベントログサブスクリプションがエラーコード(0x138C)を返す

Server 2012 R2ドメインコントローラーでイベントログのサブスクリプションを取得するために闘っています。 GUIを使用してコレクターが開始するサブスクリプションを作成し、可能な限りデフォルトを選択しました。目的のイベントを選択し、マシンアカウントといくつかのドメイン管理者アカウントを使用してみました。

最初はランタイムステータスでアクセス拒否エラーに遭遇しましたが、多くの調査の後、ユーザーアカウントとマシンアカウントをAD Builtinグループのイベントログリーダーに追加しました。 GPUPDATE/Forceを実行し、Winrmを再起動すると、コード(0x138C)が表示されます。そのエラーを調査すると、WinRMの問題がかなり指摘されますが、両方のコンピューターでWINRMの機能を確認しました。

要約する:

  • コンピューターアカウントとドメイン管理者アカウントの両方を使用してサブスクリプションを作成しました
  • WINRMが機能していることを確認
  • コンピューターアカウントとユーザーアカウントをイベントログリーダーグループに追加
  • Gpupdate、サービスの再起動、それでも取得:

エラー-最終再試行時間:3/10/2016 1:17:37 PM。コード(0x138C):クエリがアクティブなチャネルを返さないため、Windowsイベント転送プラグインはクエリからイベントを読み取ることができません。クエリでチャンネルを確認し、チャンネルが存在し、アクセスできることを確認してください。次の再試行時間:3/10/2016 1:57:37 PM。

これは、コレクターマシンからソースマシンを取得したwevtutilの結果です。

C:\Windows\system32>wevtutil gl /r:server1 security 

name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
  retention: false
  autoBackup: false
  maxSize: 134217728
publishing:
  fileMax: 1

ご覧のとおり、イベントログリーダーグループ(S-1-5-32-573)には、セキュリティログへの読み取りを許可(A ;; 0x1)があります。

ファイアウォールはオフです。両方のマシンが同じサブネット上にあります。私のグーグルフーは私に同じウサギの穴を送り続けます。

誰かが私に試すための新しいタクトを教えてもらえますか?

2
PenNerd

解決策は、「channel access permissions”セキュリティログ。

•コレクターのコンピューターアカウントが「Event Log Readers”ビルトインローカルセキュリティグループ。 •監視対象のコンピューターでイベント収集を構成します-SIDを追加します(S-1-5-20)ネットワークサービスアカウントのセキュリティイベントログのチャネルアクセス許可へのアクセス。 -管理者特権のコマンドプロンプトから:

wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)

約20分後、転送されたイベントにイベントが表示されるようになります。

リファレンス: https://rockyprogress.wordpress.com/2011/12/04/security-event-log-collection-from-a-domain-controller/

1
BrianB