none
Subscription based Audit von Domain Servern "invalid Data (13)" in einigen Custom Views RRS feed

  • Frage

  • Hallo zusammen,

    habe seid kurzer Zeit Probleme mit meinen Custom Filtern im Eventviewer, wenn ich nach EventData filter.

    Mit diesem Filter bekomme ich alle 5136 Events angezeigt:

    <QueryList>
      <Query Id="0" Path="ForwardedEvents">
        <Select Path="ForwardedEvents">
    *[System[(EventID=5136)]]
    </Select>
      </Query>
    </QueryList>

    Hier ein Beispiel Event:

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ID}" /> 
      <EventID>5136</EventID> 
      <Version>0</Version> 
      <Level>0</Level> 
      <Task>14081</Task> 
      <Opcode>0</Opcode> 
      <Keywords>0x8020000000000000</Keywords> 
      <TimeCreated SystemTime="2020-09-16T08:02:52.743508700Z" /> 
      <EventRecordID>107243711</EventRecordID> 
      <Correlation /> 
      <Execution ProcessID="460" ThreadID="3524" /> 
      <Channel>Security</Channel> 
      <Computer>DomainController</Computer> 
      <Security /> 
      </System>
    - <EventData>
      <Data Name="OpCorrelationID">{ID}</Data> 
      <Data Name="AppCorrelationID">-</Data> 
      <Data Name="SubjectUserSid">SID</Data> 
      <Data Name="SubjectUserName">Domainadmin</Data> 
      <Data Name="SubjectDomainName">Domain</Data> 
      <Data Name="SubjectLogonId">0x1cc64b1</Data> 
      <Data Name="DSName">domain.local</Data> 
      <Data Name="DSType">%%14676</Data> 
      <Data Name="ObjectDN">cn=asdadawd,OU=Test-Audit,OU=Tests</Data> 
      <Data Name="ObjectGUID">{ID}</Data> 
      <Data Name="ObjectClass">user</Data> 
      <Data Name="AttributeLDAPDisplayName">userAccountControl</Data> 
      <Data Name="AttributeSyntaxOID">2.5.5.9</Data> 
      <Data Name="AttributeValue">546</Data> 
      <Data Name="OperationType">%%14675</Data> 
      </EventData>
    - <RenderingInfo Culture="de-DE">
      <Message>Ein Verzeichnisdienstobjekt wurde geändert. Antragsteller: Sicherheits-ID: SID Kontoname: Domainadmin Kontodomäne: DOMAIN Anmelde-ID: 0x1CC64B1 Verzeichnisdienst: Name: domain.local Typ: Active Directory-Domänendienste Objekt: DN: cn=asdadawd,OU=Test-Audit,OU=Tests, GUID: {ID} Klasse: user Attribut: LDAP-Anzeigename: userAccountControl Syntax (OID): 2.5.5.9 Wert: 546 Vorgang: Typ: Wert wurde gelöscht. Korrelations-ID: {ID} Anwendungskorrelations-ID: -</Message> 
      <Level>Informationen</Level> 
      <Task>Verzeichnisdienständerungen</Task> 
      <Opcode>Info</Opcode> 
      <Channel>Sicherheit</Channel> 
      <Provider>Microsoft Windows security auditing.</Provider> 
    - <Keywords>
      <Keyword>Überwachung erfolgreich</Keyword> 
      </Keywords>
      </RenderingInfo>
      </Event>

    Wenn ich jetzt jedoch den Filter anpasse um nur Events von der Objektklasse "user" anzuzeigen bekomme ich die Meldung "Event Viewer cannot open the event log or custom view. Verify that Event Log service is running oe query is too long. The Data is invalid (13)"

    Hier einmal der Filter mit dem ich den Fehler bekomme:

    <QueryList>
      <Query Id="0" Path="ForwardedEvents">
        <Select Path="ForwardedEvents">
    *[System[(EventID=5136)]]
    and
    *[EventData[Data[@Name='ObjectClass'] and (Data='user')]] 
    </Select>
      </Query>
    </QueryList>

    andere EventData Filter funktionieren aber wie z.b.:

    <QueryList>
      <Query Id="0" Path="ForwardedEvents">
        <Select Path="ForwardedEvents">*[System[(EventID=4771)]]
    and
    *[EventData[Data[@Name='Status'] and (Data='0x18')]] 
    </Select>
      </Query>
    </QueryList>

    Jemand eine Idee woran das liegen könnte?

    MfG

    EDIT:

    Nach einigen weiteren Tests bin ich noch etwas verwirrter..

    dieser Query funktioniert:

    <QueryList>
      <Query Id="0" Path="ForwardedEvents">
        <Select Path="ForwardedEvents">*[System[(EventID=5136)]]
    and
    *[EventData[Data[@Name='SubjectUserSid'] and (Data='S-1-5-18')]] 
    </Select>
      </Query>
    </QueryList>

    Wenn ich die SID jedoch auf z.b. die von meinem Domain Admin Account oder einem Service Account setze kommt der Fehler wieder...

    • Bearbeitet mcsa2018 Mittwoch, 16. September 2020 10:04
    Mittwoch, 16. September 2020 09:08

Alle Antworten

  • Hallo mcsa2018,

    siehe das Verfahren, das im unten angegebenen Link beschrieben ist:

    Windows Event Log Service – Error 13: The data is invalid

    Du kannst versuchen, procmon zu verwenden, um das Ereignis im System zu erfassen, und überprüfen, wo der Wert als "Name nicht gefunden" oder "Zugriff verweigert" angezeigt wird. PID sollte die PID des Ereignisanzeige-Prozesses sein. Du kannst dies auf der Registerkarte Details sehen. 

    Es hängt nicht genau mit dem Problem zusammen, aber wenn die Sicherheitsprotokolle für den Benutzer-Zugriff voll sind, kann es die benutzerdefinierte Überwachung zum Absturz bringen. 

    Benutzer können nicht auf Websites zugreifen, wenn das Sicherheitsprotokoll voll ist

    Speichere auf einem Testcomputer das Sicherheitsprotokoll auf, und lösche es vollständig. Stelle sicher, dass die Register auf 1 oder 0 gesetzt sind, und teste erneut.

    Hoffentlich wird es auch in Deinem Fall hilfreich sein.

    Gruß

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Donnerstag, 17. September 2020 08:47
    Moderator
  • Hallo Mihaela,

    danke erstmal für die schnelle Antwort. Leider konnten die beiden Links kein Licht ins Dunkel bringen.

    Das leeren des Security Protokolls hat leider keine Änderung bewirkt.

    Procmon zeigt zwar einige Einträge mit NAME_NOT_FOUND an, diese beziehen sich jedoch nur auf die Built-in Logs (Application, Security, Setup, System). Diese und auch das Forwarded Events log lassen sich auch ohne Probleme öffnen. Dieser Fehler kommt nur wenn ich nach Daten im EventData Bereich filter, aber auch nicht bei allen Daten. Mal ein paar Beispiele:

    Get-WinEvent -LogName ForwardedEvents -FilterXPath "*[System[(EventID=5136)]]" -MaxEvents 1 | Format-List -Property *

    Obenstehender Befehl funktioniert und gibt mir einen Event aus.

    Get-WinEvent -LogName ForwardedEvents -FilterXPath "*[System[(EventID=5136)]] and *[EventData[Data[@Name='ObjectClass'] and (Data='dnsnode')]]" -MaxEvents 1 | Format-List -Property *

    Obenstehender Befehl funktioniert und gibt mir einen Event aus.

    Get-WinEvent -LogName ForwardedEvents -FilterXPath "*[System[(EventID=5136)]] and *[EventData[Data[@Name='ObjectClass'] and (Data='user')]]" -MaxEvents 1 | Format-List -Property *

    Obenstehender Befehl funktioniert NICHT und gibt mir den Fehler:

    Get-WinEvent : The data is invalid
    At line:1 char:1
    + Get-WinEvent -LogName ForwardedEvents -FilterXPath "*[System[(EventID ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], EventLogInvalidDataException
        + FullyQualifiedErrorId : The data is invalid,Microsoft.PowerShell.Commands.GetWinEventCommand

    Donnerstag, 17. September 2020 12:30