我负责在大约 15 个 Windows 机器的网络上运行 Windows 安全日志的集中备份。为了自动执行此任务,我一直在编写一个 Powershell 脚本,该脚本利用 wevtutil 的 /r 参数远程完成所有操作。所有的盒子都连接到我希望将日志复制到的 Sharepoint 网络驱动器,以便我可以集中所有日志,但我遇到了一些麻烦。
当我将运行它的 Windows 框的 ip 传递给它时,该脚本运行良好。日志会顺利复制到 Sharepoint。当我告诉它在本地复制日志时,该脚本也运行良好。但是,当脚本尝试将计算机的日志远程复制到共享点时,出现Failed to Archive Security log. The account is not authorized to log in from this station.错误。
命令的格式是
wevtutil epl Security \\path\to\sharepoint\[hostname]-[datetime]Security.evtx /r:[hostname]
我以域管理员身份运行脚本。我还使用本地管理员的凭据运行了脚本,但出现了一个通用的访问被拒绝错误。
谷歌搜索错误消息主要包括计算机无法访问网络驱动器(特别是远程 wevtutil),并且包括很多乱七八糟的东西
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
或者
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
没有产生任何结果。我也仅限于 Powershell 1,所以我不能远程使用 Powershell 本身 AFAIK。
我可以将脚本放在每台机器上并使用任务调度程序在本地运行它,但我希望有一个更优雅的解决方案。有没有人有以这种方式使用 wevtutil 的经验,可以为我指明正确的方向,或者甚至建议更好的技术/工具?