remote wevtutil“该帐户未被授权从此工作站登录。”

Question

我负责在一个由大约15个Windows机器组成的网络上运行Windows安全日志的集中备份。为了自动化这个任务，我已经编写了一个Powershell脚本，它利用wevtutil的/r参数来远程完成所有这些工作。所有的机器都连接到Sharepoint网络驱动器，我希望将日志复制到该驱动器，以便集中所有日志，但我遇到了一些麻烦。

当我向脚本传递运行它的Windows机器的ip时，它运行得很好。日志将顺利复制到Sharepoint。当我告诉脚本将日志复制到本地时，它也运行得很好。但是，当脚本尝试将计算机的日志远程复制到sharepoint时，我得到了一个Failed to Archive Security log. The account is not authorized to log in from this station.错误。

该命令的格式为

wevtutil epl Security \\path\to\sharepoint\[hostname]-[datetime]Security.evtx /r:[hostname]

我以域管理员的身份运行脚本。我还使用本地管理员的凭据运行了该脚本，并收到了一个通用的访问被拒绝错误。

在谷歌上搜索错误消息主要包括计算机无法访问网络驱动器(不是特定的远程wevtutil )，并且包括大量在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

或

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

没有产生任何结果。我也被限制在Powershell 1上，所以我不能远程使用Powershell本身。

我可以将脚本放在每台机器上，并使用任务调度程序在本地运行它，但我希望有一个更优雅的解决方案。有没有人有以这种方式使用wevtutil的经验，可以给我指出正确的方向，或者甚至建议一个更好的技术/工具？

Answer 1

您有多大的余地来实现另一个解决方案？

如果你想对日志做些什么，或者让它们易于搜索，你可以设置一个免费的Splunk服务器，或者使用Splunk forwarder发送日志，或者你也可以使用Powershell将日志发送到Splunk的HTTP事件收集器。