EVENTCREATE以“错误:访问被拒绝”失败--如何修复

Question

我也在微软论坛上问过这个问题，但还没有答案。

我正在构建一个Windows 2012服务器，以取代一个遗留的Windows 2008服务器。我正在测试一个遗留批处理脚本，它记录不同情况下的信息或系统事件。但是，由于错误"Access is denied"，脚本失败了。

我做了一些调试，发现故障与EVENTCREATE行有关。下面是命令的一个示例，它失败了：

C:\SCRIPTS>EVENTCREATE /t WARNING /d "testing" /id 411
ERROR: Access is denied.

如果我以自己(管理员)的身份执行此命令，则工作正常。但是如果其中一个用户执行它，它就失败了。

我做了谷歌搜索以及检查堆栈溢出和它的同级站点，并观察到这种行为是在使用/so参数时报告的。但是，我没有使用/so参数。

我已经确认用户可以访问EVENTCREATE命令。如果他们用/?调用它，就会看到它的帮助内容。

是否存在需要调整的组策略权限设置？还有别的吗？

提前谢谢你的帮助。

Answer 1

我怀疑这里的问题是您没有使用/so开关，它通常允许您指定事件源。

由于不使用该参数，该实用程序默认为"EventCreate“作为事件源。这意味着该实用程序需要在注册表中注册"EventCreate“源，这需要提升权限。运行事件创建的用户可能没有这些必要的权限。

您试过在管理员的同一台计算机上运行它，然后以用户的身份再次运行吗？我会认为这是可行的。

或者，我也会尝试指定一个事件源。“你的申请”并坚持下去。事件源"EventCreate“非常通用，我不会使用它。

最后，我推荐这些博客文章来了解日志到事件日志的工作原理：

https://www.eventsentry.com/blog/2008/04/event-log-message-files-the-de.html https://www.eventsentry.com/blog/2010/11/creating-your-very-own-event-m.html

Answer 2

我以管理员的身份打开命令窗口，解决了这个问题。仅仅作为管理员是不足以执行命令的。右键单击图标并选择“以管理员身份运行”。