Powershell get-winevent에서 무단 오류가 발생하는 이유는 무엇입니까?

나는 도메인 관리자에 해당하고 고급 콘솔에서 실행을 시도했지만 (오른쪽 클릭> 관리자로 실행) 실행시 지속적으로 오류가 발생합니다.

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

세 줄의 결과를 얻은 다음

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

이것은 새로운 개발 인 것처럼 보이며 이전에는 이러한 오류를 얻지 못했습니다.

일관성이 있습니다-다른 서버에서 -computername으로 실행하면 패턴은 여전히 ​​OK 라인 3 개, X 오류, 5 OK 라인 등이됩니다.

다른 이벤트 로그에서도 발생합니까? 예를 들어 특정 이벤트 ID로 로그인 이벤트를보기 위해 다음을 실행하면 어떻게됩니까?

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

작동하면 응용 프로그램 이벤트 로그에 액세스 권한이없는 항목이있을 수 있습니다. 이 경우 액세스가 거부 된 이유를 확인하려면 프로세스 모니터 와 같은 것을 사용해야합니다 .

FilterHashtable 매개 변수를 사용하여 필터 조건을 Get-WinEvent cmdlet에 전달하면 더 나은 결과를 얻을 수 있습니다. 예제는 http://ss64.com/ps/get-winevent.html 을 참조 하십시오 .

잠긴 시스템에서 관리자가 아닌 사용자로 이것을 실행할 수 있습니다. GPO에서 이벤트 로그에 대한 권한 및 감사 정책을 확인하십시오. 감사 자만 로그를 볼 수 있도록 설정했을 수 있습니다. 이 경우 행운을 빕니다 문제 해결.

보안 로그에이 문제가있었습니다. 리모콘에서 항목이 반환되지 않습니다 get-winevent -logname security. 사용자는 다음을 통해 원격 보안 이벤트 로그에 액세스 할 수있었습니다eventvwr.msc .

이 수정은 reg 해킹입니다.이 키에 권한을 추가하십시오.

HKLM\System\CurrentControlSet\Services\eventlog\Security

나는 읽기 액세스 권한을 가진 사용자의 AD 그룹을 추가하고 get-winevent그 후에 완벽하게 작동했습니다.