Pourquoi ai-je des erreurs non autorisées avec Powershell get-winevent?

9

Je suis un administrateur de domaine équivalent, j'ai essayé de fonctionner dans une console élevée (clic droit> exécuter en tant qu'administrateur) et je reçois régulièrement des erreurs lors de l'exécution

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

Je vais obtenir trois lignes de résultat, puis

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

Cela semble être un nouveau développement, je n'ai jamais eu ces erreurs auparavant.

C'est cohérent - si je l'exécute avec -computername à partir d'un autre serveur, le modèle va toujours 3 lignes OK, puis X erreurs, puis 5 lignes OK, etc.

powershell user-accounts user209162
la source
1
Quel système d'exploitation et quelle version de PowerShell utilisez-vous? (gwmi Win32_OperatingSystem).VersionetGet-Host
Chris S
Windows Server 2008 R2 + SP1, Powershell 2.0
user209162
est-ce exécuté à partir d'une invite PowerShell élevée?
MDMoore313
De get-help get-winevent Note: [...] And, it requires the Microsoft .NET Framework 3.5 or a later version.Répondez-vous à cette exigence?
Brice
1
Oui, cela vient d'une coquille élevée.
user209162

Réponses:

0

Cela se produit-il avec d'autres journaux d'événements? Par exemple, que faire si vous exécutez ce qui suit pour afficher les événements de connexion avec des ID d'événement spécifiques?:

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

Si cela fonctionne, il peut y avoir des éléments dans le journal des événements d'application auxquels vous n'avez pas accès. Dans ce cas, vous devez utiliser quelque chose comme Process Monitor pour savoir pourquoi votre accès est refusé.

Vous pouvez obtenir de meilleurs résultats en utilisant le paramètre FilterHashtable pour passer les critères de filtre à l'applet de commande Get-WinEvent. Voir http://ss64.com/ps/get-winevent.html pour des exemples.

Greg Bray
la source
0

Je peux exécuter cela avec un utilisateur non administrateur sur un système verrouillé. Vérifiez vos autorisations et stratégies d'audit pour les journaux d'événements dans GPO. Vous pouvez l'avoir défini afin que SEULS les auditeurs puissent voir les journaux. Bonne chance pour le dépannage si c'est le cas.

Xalorous
la source
0

J'ai eu ce problème avec le journal de sécurité. Aucune entrée ne sera retournée d'une télécommande get-winevent -logname security. L'utilisateur a pu accéder au journal des événements de sécurité à distance via eventvwr.msc.

Le correctif était un piratage de reg - ajoutez une autorisation à cette clé:

HKLM\System\CurrentControlSet\Services\eventlog\Security

J'ai ajouté le groupe AD de l'utilisateur avec un accès en lecture et j'ai get-wineventparfaitement fonctionné après cela.

KERR
la source