如何以有限權限遠程查看Windows事件日誌

Question

要調試一些代碼，我想查看遠程計算機的Windows事件日誌（目標是Windows2003）。使用mmc.exe，我可以爲遠程機器添加事件日誌，但前提是我擁有​​足夠的權限。對於這臺遠程機器，他們不希望授予我遠程登錄權限（或者管理權限）。是否有特定的權限，我可以給予查看事件日誌，而不是其他？

Answer 1

如果您可以啓用對服務器的Web訪問，那麼您可以使用我剛纔發佈的eventlog viewer頁面。這將允許管理員來運行只有足夠的權限的網站上看到，事件日誌，而無需授予您的帳戶登錄...

Answer 2

安全日誌，用戶需要的特權「管理審覈和安全日誌」

對於系統和應用程序日誌，您應該能夠將它們作爲客人讀取，除非他們已經在以下注冊表項下設置了RestrictGuestAZccess值： HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ EventLog \ System HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ EventLog \ Application

Answer 3

一個選項是得到一個本地ID即位於遠程本地管理員組。

接下來，從您的系統，使用新的遠程本地ID映射到遠程服務器上的驅動器。在MMC輸入/一

添加使用EventView管理單元

當提示您進行本地或遠程 -

創建從Windows 運行開始菜單中選擇一個新的MMC服務器 - 放入您映射到的服務器的主機名。

提示：Windows使用已建立的安全連接 - 如果可以的話。因此，駕駛技巧的地圖非常適用。

請注意：我將這個技巧用於WMI查詢 - 因此查詢永遠不會失敗。

Answer 4

約書亞弗拉納根概述了一個過程到delegate rights through modifying the security descriptor的事件日誌。

Answer 5

請將域用戶（無管理員權限）添加到目標服務器上的「事件日誌讀取器」組中。然後，從源服務器，您可以使用標準用戶憑據訪問和讀取目標上的事件日誌。

Answer 6

在較新的Windows版本（Windows 7，Windows Server 2008 ...）上，您可以簡單地將相應的帳戶添加到內置組事件日誌讀取器。

來源：簡·劉易斯的博客TechNet上，Giving Non Administrators permission to read Event Logs Windows 2003 and Windows 2008

該人士還介紹了一個選擇，如果你需要更細粒度的控制。

（該任擇議定書要求的Windows 2003，在這個方法行不通，但作爲Windows Server 2003中不再支持，人們可能會感興趣的這種方法。）