none
Event Collector и Security Logs RRS feed

  • Вопрос

  • Всем доброго дня.

    Настроил Event Collector по данному гайду  + еще пару гайдов с течнета.

    Вроде бы все работает App System логи собирает нормально но Security логи так и не сыпятся.

    Настраивал как Collector Initiated так и Source computer initiated.

    В Builtin группу "Event Log Readers" добавлял NETWORK SERVICE, Учетку Адмнина , учетки компьютеров с которых собирал логи и коллектора.

    В GPO все прописал как по гайду. Server=syslog.mydomain.local

    Подписка настроена по HTTP 5985 с авторизацией через админсукую учетку mydomain\adminname.

    Когда в логах вибираешь все логи Windows Events куда входят APP Secur Setup System FE */** Все нормально только Secur не сыпятся.

    но если выбрать конкретно Secur то логи не идут. и в статусе Подписки ошибка.

    [PSTEST.mydomain.local] - Error - Last retry time: 15.11.2012 9:51:58. Code (0x138C): <f:ProviderFault provider="Event Forwarding Plugin" path="%systemroot%\system32\wevtfwd.dll" xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault"><t:ProviderError xmlns:t="http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog">Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them.</t:ProviderError></f:ProviderFault>  Next retry time: 15.11.2012 9:56:58.


    *******************

    Система с которой собираю лог Windows 7 SP1 Ult

    Коллектор Win 2008 R2 SP1Все настроено по гайдам.

    PSTEST машина с Windows 7 с которой собираю логи.

    *//////////////////настройка листенера на сервере.

    Listener [Source="GPO"]
        Address = *
        Transport = HTTP
        Port = 5985
        Hostname
        Enabled = true
        URLPrefix = wsman
        CertificateThumbprint
        ListeningOn = 127.0.0.1, 192.168.14.241, ::1, fe80::100:7f:fffe%11, fe80::5efe:192.168.14.241%13, fe80::bdd1:e63a:26fb:c99d%10




    • Изменено QSPOR 15 ноября 2012 г. 4:32
    15 ноября 2012 г. 4:25

Ответы

  • Тему можно закрыть. Решение нашол.


    Code (0x138C)

    Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them

    Solution:

    clip_image001[13] Adding the “Network Service” and the machine account of the collector to the “Event Log Users” domain local group, and

    clip_image001[14]Assigning the “Manage auditing and security log" user right to the “Network Service” and the machine account of the collector on the sources


    • Изменено QSPOR 15 ноября 2012 г. 5:18
    • Предложено в качестве ответа Philip Portnoy 15 ноября 2012 г. 6:09
    • Помечено в качестве ответа QSPOR 15 ноября 2012 г. 6:34
    15 ноября 2012 г. 5:18