我正在尝试将Windows安全事件从我的转发器服务器转发到收集器。因此,我执行了一些配置,并且能够获得除安全性事件以外的所有其他Windows事件(即系统,应用程序等)。
我收到以下错误:
错误-上次重试时间:2020年4月21日上午7:20:07。代码(0x138C):Windows事件转发插件无法从查询中读取任何事件,因为查询没有返回活动通道。请检查查询中的通道,并确保它们存在并且您可以访问它们。下次重试时间:2020/4/21上午8:20:07。
我检查了一下,发现以下文章:
在PS中,我运行了命令:
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
但是我得到了错误:
At line:1 char:38
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:52
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:55
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:65
+ ... util sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:68
+ ... il sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:88
+ ... BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:91
+ ... G:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:107
+ ... ;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
+ ~
Unexpected token ')' in expression or statement.
+ CategoryInfo : ParserError: (:) [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : MissingEndParenthesisInExpression
我知道它在抱怨什么,但是为什么对我来说看起来没什么道理。有人可以协助吗?
答案 0 :(得分:0)
PowerShell正在将分号解释为语句终止符。为了防止这种情况发生,请在整个/ca:参数周围加上引号...
wevtutil sl security '/ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
根据该应用程序解析参数的方式,您也许还可以仅引用参数的值
wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'