Gebruik wevtutil om machtigingen voor gebeurtenissenlogboeken te controleren

Downloadopties

  • PDF     (252.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (70.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 augustus 2025
Document-id:224677

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u wevtutil kunt gebruiken om de toegangsrechten voor aanmeldingsgebeurtenissen bij Connector te controleren.

    U kunt testen of de Connector aanmeldingsgebeurtenissen van een DC kan lezen met wbemtest.

    Als wbemtest daadwerkelijk geen verbinding maakt, wordt dit meestal veroorzaakt door een WMI / DCOM-machtigingsfout, dus zoek elders hulp.

    In sommige omstandigheden verbindt wbemtest echter wel, maar laat het geen gebeurtenissen zien. 

    Hiervoor zijn twee oorzaken:

    • Het controlebeleid is onjuist, dus aanmeldingsgebeurtenissen worden niet gevolgd op de DC. Zoek hulp bij het controlebeleid.
    • Gebeurtenissen worden geregistreerd op de DC, maar OpenDNS_Connector heeft geen toestemming om te lezen uit het gebeurtenissenlogboek Beveiliging.  Doorgaan op...

    Basisprincipes - Lezers voor gebeurtenissenlogboeken

    In de meeste gevallen is dit zo eenvoudig als het toevoegen van de OpenDNS_Connector-gebruiker aan de groep Event Log Readers. Dit geeft het de rechten die het nodig heeft om het gebeurtenissenlogboek te lezen.

    wevtutil - Rechten controleren

    In zeldzame gevallen heeft de groep Gebeurtenislogboeklezers niet de standaardmachtigingen. We kunnen wevtutil gebruiken om eenvoudig de machtigingen te controleren die zijn verleend aan het Security Event-logboek. 

    Gewoon uitvoeren:

    wevtutil gl security
    1. De uitvoer toont de machtigingen met de SDDL-syntaxis als volgt:
      channelAccess: O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-573)
    2. De SID voor Event Log lezers is S-1-5-32-573 of kan worden afgekort tot ER.
    3. De hexadecimale waarde is voor machtigingen, zoals:
      • 0x1 = gelezen
      • 0x2 = Schrijven
      • 0x3 = lezen/schrijven\

    Fix 1 - Standaardinstellingen

    U kunt de standaardwaarden voor machtigingen herstellen door een registerwaarde te verwijderen die de aangepaste SDDL-tekenreeks bevat.  Dit is een snelle oplossing, maar kan van invloed zijn op andere software die uit het gebeurtenissenlogboek leest (indien van toepassing).

    Verwijder de 'CustomSD' waarde van HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

    Fix 2 - SDDL bijwerken met wevtutil

    In zeldzame omstandigheden kunnen we de rechten rechtstreeks toewijzen met behulp van wevtutil. 

    1. Krijg de huidige rechten zoals eerder beschreven met behulp van deze opdracht: 
      wevtutil gl security
    2. Maak een notitie van de string voor kanaaltoegang.  Bv:
      /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)
    3. De SID uitwerken voor de OpenDNS_Connector-gebruiker:
      wmic useraccount where name='OpenDNS_Connector' get sid
    4. U kunt leestoegang geven aan OpenDNS_Connector door deze als volgt toe te voegen aan de bestaande tekenreeks voor kanaaltoegang.  Vervang <SID> door de OpenDNS_Connector SID.
      wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;<SID>)

    Ter referentie, hier is de SID van de groep Event Log Readers. 

    SID: S-1-5-32-573
    Naam: BUILTIN\Event Log Reader
    Omschrijving: Een lokale bouwgroep. Leden van deze groep kunnen eventlogboeken lezen van de lokale machine.

    Fix 3 - GPO 

    De OpenDNS Connector-account kan toestemming krijgen om te lezen (en schrijven!) naar het beveiligingsevenementlog met behulp van deze groepsbeleidsinstelling.  Deze instelling geeft technisch gezien meer machtigingen dan nodig zijn, maar is een eenvoudige manier om de wijziging aan te brengen.

    Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Controle- en beveiligingslogboek beheren

    Nadat u de wijziging hebt aangebracht, voert u 'gpupdate / force' uit op de domeincontroller(s).

    tip-icon

    Opmerking: op het functionele niveau van Windows 2003 / 2003 bestaat de groep Event Log Readers mogelijk niet, daarom is deze GPO de primaire methode om de OpenDNS Connector toegang te geven tot die platforms.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Aug-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten