locked
PSLOGLIST : LOG EVENT DI UN PC IN LAN RRS feed

  • Domanda

  • Ciao!

    Il mio pc è in rete LAN con il seguente PC:
    Nome computer    : pluto
    User                     : pluto
    Password             : pippo

    Se eseguo il seguente comando sul mio PC:
    psloglist @file.txt -u pluto -p pippo -s -d 7 -f e Application >> ApplicationLog.csv

    File.txt:
    pluto

    Mi ritorna questa segnalazione:
    Cannot connect to remote register on Pluto
    Access Diened
    Could not open  Register on Pluto event strings will not be processed

    Ovviamente i 2 PC sono in "rete" (leggi condivisione di files ecc)

    Qualche suggerimento ? Sul pc Pluto cè da abilitare qualcosa per l'esportazione degli eventi ??

    Grazie !

    mercoledì 21 febbraio 2018 20:59

Risposte

  • Stessa cosa anche a me, funziona, ma non ha la decrizione di alcuni eventi:
    Message text not available.  Insertion strings:

    Io ho sempre  usato wmic o wevtutil abbinato a psexec, ci sono utility di sysinternals a cui non riesco a fare a meno, ma psloglist(mai usata) oggi è surclassata da powershell get-eventlog

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    • Contrassegnato come risposta evvivame giovedì 8 marzo 2018 22:02
    giovedì 8 marzo 2018 20:45
    Moderatore

Tutte le risposte

  • Se l'utente che stai utilizzando per connetterti al computer è di tipo locale, vedi qui: www.brandonmartinez.com/2013/04/24/resolve-access-is-denied-using-psexec-with-a-local-admin-account/
    giovedì 22 febbraio 2018 21:02
    Moderatore
  • Grazie Fabrizio per la risposta.

    Si si stiamo parlando di rete locale !

    ho provato quanto suggerito dal tuo link ma niente da fare ....ho trovato anche questo link https://www.aldeid.com/wiki/Sysinternals/Pstools.

    Il contenuto è lo stesso ma in fondo suggerisce:

    psexec \\machine -u administrator -p password svchost -k localservice

    Le domande sono:

    1) devo inserire il suddetto comando prima del mio psloglist

    2) la prima parte è chiara la seconda ( svchost -k localservice ) no visto, tra l'altro, che il

    parametro -k sembra che non esista

    Ciaoo


    venerdì 23 febbraio 2018 22:31
  • Intendevo se l'utente è locale al computer (quindi non hai un dominio).
    La parte importante è l'aggiunta del valore "LocalAccountTokenFilterPolicy", poi ovviamente le condivisioni amministrative devono essere accessibili. Per quest'ultimo punto devi assicurarti che:
    - Le regole firewall siano abilitate. Eventualmente esegui questi comandi da un prompt avviato come amministratore:

    netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=Yes
    netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=Yes
    netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes

    PS: I comandi valgono per sistemi operativi in inglese, eventualmente devi utilizzare il nome della regola del sistema operativo italiano.

    - Il profilo di rete presente in ogni computer sia identificato come privato e non pubblico o non identificato. Eventualmente modifica l'impostazione in Centro connessioni di rete e condivisione.



    sabato 24 febbraio 2018 09:19
    Moderatore

  • Ho fatto alcune prove e di seguito trovi l'insieme minimo di cose da fare perchè psexec funzioni

    1. modifica del registro LocalAccountTokenFilterPolicy settata a 1
    2. Apertura del firewall in entrata di "gestione remota servizi (RPC)"
    3. Apertura del firewall in entrata di "Condivisione file e stampanti (SMB-In)"

    A questo punto un utente admin, grazie a psexec, protrà lanciare dei comandi sul pc remoto dove sono state eseguite in precedenza le tre operazioni.

    :: Necessario per non avere "accesso negato"
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
    :: Assolutamente necessario psxec deve riuscire a far partire il servizio remoto psexecsvc per funzionare netsh advfirewall firewall set rule name="gestione remota servizi (rpc)" new enable=yes
    :: Assolutamente necessario per avere la network share accedibili (psexec penso usi la admin$)
    :: è il sottoinsieme minimo della 3za regola di Fabrizio
    netsh advfirewall firewall set rule name="Condivisione file e stampanti (SMB-In)" new enable=yes

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    domenica 25 febbraio 2018 00:00
    Moderatore
  • Buon giorno Gastone,

    Scusa del ritardo ma non ricevo l'email x nuovo post per questo ho visto per caso il tuo post...

    Allora:

    1) Grazie per la tua risposta

    2) ho creato un batch con i tuoi 3 comandi

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
    pause
    netsh advfirewall firewall set rule name="gestione remota servizi (rpc)" new enable=yes
    pause
    netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-In)" new enable=yes
    pause
    

    il 1. e il 3. va a buon fine mentre (ovviamente il 2 abortisce con "nessuna regola per questo servizio).

    Il 3. ho dovuto modificarlo (spero correttamente) perche nonostante il sistema usa la lingua italiana i nomi dei servizi del  firewall sono in inglese.

    Purtroppo ho difficoltà a trovare il servizio (in inglese) per il 2. comando

    Il servizio va cercato anche lui nel firewall-->Monitoraggio---> Firewall ?

    Ciaooo

    giovedì 8 marzo 2018 10:30
  • il nome è il seguente

    netsh advfirewall firewall set rule name="Remote Service Management (RPC)" new enable=yes


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    giovedì 8 marzo 2018 14:51
    Moderatore
  • Gastone sembra che funzioni.

    Comandi:

    psloglist \\Gabry -u user -p password -d 7 -f we sys > system.log
    psloglist \\Gabry -u user -p password -d 7 -f we app > application.log
    

    allego un paio di entrys del system. log:

    System log on \\Gabry:
    [69856] Microsoft-Windows-DNS-Client
       Type:     WARNING 
       Computer: Gabry
       Time:     08/03/2018 16.28.38   ID:       1014 
       User:     NT AUTHORITY\NETWORK SERVICE
    Message text not available.  Insertion strings:
    	teredo.ipv6.microsoft.com 16 02000035080804040000000000000000  
    
    [69813] DCOM
       Type:     ERROR 
       Computer: Gabry
       Time:     08/03/2018 10.44.28   ID:       10001 
    Message text not available.  Insertion strings:
    	C:\Windows\System32\slui.exe -Embedding 5 {F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} 

    allego un paio di entrys del application.log:

    Application log on \\Gabry:
    [23959] Software Protection Platform Service
       Type:     ERROR 
       Computer: Gabry
       Time:     08/03/2018 18.44.11   ID:       8193 
    Message text not available.  Insertion strings:
    	0x80070005  
    
    [23957] Software Protection Platform Service
       Type:     ERROR 
       Computer: Gabry
       Time:     08/03/2018 18.09.12   ID:       8193 
    Message text not available.  Insertion strings:
    	0x80070005 

    Ho usato il sembra perchè entrambi i comandi mi danno:

    Cannot connect to remote register on Gabry /Accesso negato/Could not open Register on Gabry so event strings will not processed/accesso negato

    Sono un po' confuso..... :))

    giovedì 8 marzo 2018 18:03
  • In effetti la differenza c'è:

    a parità di comando ecco il log in locale:

    \\GABRY:
    Application log on \\GABRY:
    23963,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 20.09.12,8193,None,"Errore di License Activation Scheduler (sppuinotify.dll). Codice di errore:  0x80070005  "
    23961,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 19.09.12,8193,None,"Errore di License Activation Scheduler (sppuinotify.dll). Codice di errore:  0x80070005  "
    23959,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 18.44.11,8193,None,"Errore di License Activation Scheduler (sppuinotify.dll). Codice di errore:  0x80070005  "

    mentre questo è da remoto:

    \\GABRY:
    Application log on \\GABRY:
    23963,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 20.09.12,8193,None,"Message text not available.  Insertion strings: 0x80070005  "
    23961,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 19.09.12,8193,None,"Message text not available.  Insertion strings: 0x80070005  "
    23959,Application,Software Protection Platform Service,ERROR,Gabry,08/03/2018 18.44.11,8193,None,"Message text not available.  Insertion strings: 0x80070005  "
    in pratica da remoto non estrae la descrizione dell'errore (es:
    Errore di License Activation Scheduler (sppuinotify.dll))


    • Modificato evvivame giovedì 8 marzo 2018 19:32
    giovedì 8 marzo 2018 19:31
  • Stessa cosa anche a me, funziona, ma non ha la decrizione di alcuni eventi:
    Message text not available.  Insertion strings:

    Io ho sempre  usato wmic o wevtutil abbinato a psexec, ci sono utility di sysinternals a cui non riesco a fare a meno, ma psloglist(mai usata) oggi è surclassata da powershell get-eventlog

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    • Contrassegnato come risposta evvivame giovedì 8 marzo 2018 22:02
    giovedì 8 marzo 2018 20:45
    Moderatore