Articles of 事件日志

使用Log4j 2login到Windows事件日志

我实际上正在一个Java项目,因为它似乎是比Log4j 1.x强大的function,我想使用Log4j 2。 但我有一个疑问,我似乎无法find任何有关它的信息: 我能用log4j 2login到Windows事件日志,如果不是本地的,是否有一个兼容log4j 2的外部库可以帮我做到这一点? 预先感谢您的答案。

相当于PowerShell Get-EventLog的Python

在PowerShell中,您可以运行以下命令来列出服务器上的所有不同的事件日志文件夹: Get-EventLog -list 有没有办法在Python中做到这一点? 我见过很多关于如何从特定文件夹(例如使用win32evtlog )获取日志的post,而不是如何检索所有事件日志文件夹的列表。 我正在运行Windows Server 2008。

在Windows上找不到syslog.h

我正在重写用于linux的ac程序,现在我将在Windows上重新使用它,我写了一个bat文件。 我以pipe理员身份运行此文件,然后发生错误:syslog.h:没有这样的文件或目录。 你能给我一些build议吗? 谢谢。

事件日志ID 7039,然后服务被设置为运行和停止状态。 但是OnStart从未被调用

我有一个与微软的例子创build的Windows服务。 public MyService() { InitializeComponent(); } private void InitializeComponent() { this.eventLog1 = new System.Diagnostics.EventLog(); ((System.ComponentModel.ISupportInitialize)(this.eventLog1)).BeginInit(); // // eventLog1 // this.eventLog1.Log = "Application"; this.eventLog1.Source = "MyService"; // // MyService // this.CanHandlePowerEvent = true; this.CanHandleSessionChangeEvent = true; this.CanShutdown = true; this.ServiceName = "MyService"; ((System.ComponentModel.ISupportInitialize)(this.eventLog1)).EndInit(); } protected override void OnStart(string[] args) { try { eventLog1.WriteEntry("Initializing…"); Init(); ServiceConfig.Settings.Initialize("MyService"); eventLog1.WriteEntry("Starting…"); […]

有没有一个API来远程读取Windows机器的审计configuration?

对于每个子类别,我都需要知道是否会对成功,失败,两者还是没有进行审计。 此信息可通过AuditEnumerateSubCategories在本地获得 ,但似乎没有办法远程访问相同的信息。 以下是我需要收集的信息的一个例子。 我可以通过WMI获得吗? 或者,如果没有,通过其他方式,假设我有适当的(pipe理员)凭据到目标机器? 再次,澄清,这不是我需要阅读的事件日志,这是日志loggingconfiguration。 <security_state_change>AUDIT_SUCCESS</security_state_change> <security_system_extension>AUDIT_NONE</security_system_extension> <system_integrity>AUDIT_SUCCESS_FAILURE</system_integrity> <ipsec_driver>AUDIT_NONE</ipsec_driver> <other_system_events>AUDIT_SUCCESS_FAILURE</other_system_events> <logon>AUDIT_SUCCESS</logon> <logoff>AUDIT_SUCCESS</logoff> <account_lockout>AUDIT_SUCCESS</account_lockout> <ipsec_main_mode>AUDIT_NONE</ipsec_main_mode> <ipsec_quick_mode>AUDIT_NONE</ipsec_quick_mode> <ipsec_extended_mode>AUDIT_NONE</ipsec_extended_mode> <special_logon>AUDIT_SUCCESS</special_logon> <other_logon_logoff_events>AUDIT_NONE</other_logon_logoff_events> <file_system>AUDIT_NONE</file_system> <registry>AUDIT_NONE</registry> <kernel_object>AUDIT_NONE</kernel_object> <sam>AUDIT_NONE</sam> <certification_services>AUDIT_NONE</certification_services> <application_generated>AUDIT_NONE</application_generated> <handle_manipulation>AUDIT_NONE</handle_manipulation> <file_share>AUDIT_NONE</file_share> <filtering_platform_packet_drop>AUDIT_NONE</filtering_platform_packet_drop> <filtering_platform_connection>AUDIT_NONE</filtering_platform_connection> <other_object_access_events>AUDIT_NONE</other_object_access_events> <sensitive_privilege_use>AUDIT_NONE</sensitive_privilege_use> <non_sensitive_privlege_use>AUDIT_NONE</non_sensitive_privlege_use> <other_privlege_use_events>AUDIT_NONE</other_privlege_use_events> <process_creation>AUDIT_NONE</process_creation> <process_termination>AUDIT_NONE</process_termination> <dpapi_activity>AUDIT_NONE</dpapi_activity> <rpc_events>AUDIT_NONE</rpc_events> <audit_policy_change>AUDIT_SUCCESS</audit_policy_change> <authentication_policy_change>AUDIT_SUCCESS</authentication_policy_change> <authorization_policy_change>AUDIT_NONE</authorization_policy_change> <mpssvc_rule_level_policy_change>AUDIT_NONE</mpssvc_rule_level_policy_change> <filtering_platform_policy_change>AUDIT_NONE</filtering_platform_policy_change> <other_policy_change_events>AUDIT_NONE</other_policy_change_events> <user_account_management>AUDIT_SUCCESS</user_account_management> <computer_account_management>AUDIT_NONE</computer_account_management> <security_group_management>AUDIT_SUCCESS</security_group_management> <distribution_group_management>AUDIT_NONE</distribution_group_management> <application_group_management>AUDIT_NONE</application_group_management> <other_account_management_events>AUDIT_NONE</other_account_management_events> <directory_service_access>AUDIT_NONE</directory_service_access> <directory_service_changes>AUDIT_NONE</directory_service_changes> <directory_service_replication>AUDIT_NONE</directory_service_replication> <detailed_directory_service_replication>AUDIT_NONE</detailed_directory_service_replication> <credential_validation>AUDIT_NONE</credential_validation> […]

使用事件日志启用多个源将条目写入同一个日志

我写了两个不同的应用程序作为Windows服务运行。 每个应用程序代表Windows日志的一个来源。 1.)问题:我希望应用程序将条目写入相同的日志,例如my_applications_log。 我的动机是监视应用程序所采取行动的顺序。 问题是,当我尝试用一​​个源写入一个条目,然后用另一个源写入另一个条目到同一个日志时,只有具有最新源注册的条目被写入到日志中,而另一个不是。 我不明白为什么这不应该是可能的..我知道一种方法是根据来源拆分日志,并使用自定义视图让他们“join”。 但我想有一个指定的日志不是两个或更多.. 2.)问题:在Windows事件查看器中,我可以看到日志可以组织成“目录”,例如:应用程序和服务日志 – > Microsoft-> Windows->audio – > {CaptureMonitor日志,操作日志}。 我找不到任何API允许创build这样的目录和这个目录中的一些日志。 这可能以某种方式? 提前致谢

EvtOpenChannelEnum访问被拒绝

在使用EvtOpenChannelEnum获得有效会话句柄后,我调用EvtOpenSession 。 EvtOpenSession工作,但EvtOpenChannelEnum返回访问被拒绝( GetLastError = 5 )。 为什么会这样? 如果有访问问题,我希望用EvtOpenSession调用它。 更令人困惑的是,用户可以与我的程序在同一台计算机上,以同一用户身份login,并使用Windows事件日志查看器 (2008年,所以假设它使用相同的API),它工作正常。 难倒…

确定由Windows GUI操作触发的底层调用

这是我在superuser.com上询问的后续问题。 我如何追踪GUI操作的后果? 在Windows中是否有某种低级事件日志? 示例如果用户双击<name>.pdf ,结果是: 延伸是确定的, 完整的path被确定 该文件打开与给定的扩展名关联的程序 至less我认为这是发生了什么。 这是我想跟踪的结果,以便在代码中进行重现。

使用XPathselect与Windows事件日志中的其他条件不匹配的事件

我正在尝试开发一个Xpath 1.0兼容的filter,遵循使用XPath starts-with的答案中提到的限制,或者包含searchWindows事件日志的function,这些事件将与事件ID为4771的事件匹配,只要它们没有某些计算机名称。 这里是我不想在事件查看器中匹配/显示的4771事件的示例xml。 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{94849225-5448-4994-A5BA-1E3B0928C30D}" /> <EventID>4771</EventID> <Version>0</Version> <Level>0</Level> <Task>14339</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2017-03-22T20:13:28.105262600Z" /> <EventRecordID>4368371459</EventRecordID> <Correlation /> <Execution ProcessID="564" ThreadID="1340" /> <Channel>Security</Channel> <Computer>sample.computer.net</Computer> <Security /> </System> <EventData> <Data Name="TargetUserName">abc$</Data> <Data Name="TargetSid">S-1-5-21-376469911-3458163162-136990061-477177</Data> <Data Name="ServiceName">krbtgt/computer.net</Data> <Data Name="TicketOptions">0x40810010</Data> <Data Name="Status">0x18</Data> <Data Name="PreAuthType">2</Data> <Data Name="IpAddress">::ffff:10.0.0.1</Data> <Data Name="IpPort">56815</Data> <Data Name="CertIssuerName" /> <Data Name="CertSerialNumber" /> […]

用Java中的log4j2进行Windows事件日志logging

我找不到任何有关如何使用log4j2进行Windows事件日志的好例子。 可能吗? 我的应用程序可以用log4j 1来完成,但我想升级到log4j2。 而且我还需要Windows事件logging。 任何帮助或例子都会很棒。 谢谢!