系统用户运行时不解析消息的Get-EventLog

Question

问题

我正在尝试安排一个监视远程机器上事件的作业。

我根据Get-EventLog命令编写了脚本，它在由我的帐户运行时工作正常。但是，当我以Get-EventLog用户身份运行SYSTEM时，返回对象的.Message属性显示了以下错误：

无法找到源“Microsoft安全性-审核”中事件ID '4724‘的说明。本地计算机可能没有显示消息所需的注册表信息或消息DLL文件，或者您可能没有访问它们的权限。下列信息是事件的一部分：{somedata}

当我以Get-WinEvent用户身份使用SYSTEM命令时，问题不会出现，.Message部件将正确显示。

我会坚持使用Get-WinEvent，特别是因为数据更容易解析(多亏了ToXML()方法)，但是Get-EventLog恰好要快得多：

问题

有人知道为什么Get-EventLog在由SYSTEM用户运行时不能呈现.Message，以及如何修复它吗？

为了避免明显的答案：

• COMPUTER$帐户是DOMAIN\Event Log Readers组的成员，
• COMPUTER$帐户确实具有远程计算机上HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security的读取权限，
• 显然，Microsoft-Windows-Security-Auditing和相关DLL的注册表项在源计算机和目标计算机上都是相同的。

Answer 1

尝试: Get-WinEvent -LogName“Microsoft-Windows-Security- -ExpandProperty”，其中ID为-eq 4724 \select--ExpandProperty消息