Powershell get-wineventで不正なエラーが発生するのはなぜですか？

私はドメイン管理者と同等で、管理者コンソールで実行してみました（右クリックして[管理者として実行]）、実行中に常にエラーが発生します

get-winevent -logname application | where {$_.message -match "Faulting application"} | `
                                    select TimeCreated,message

3行の結果が返されます。

Get-WinEvent : Attempted to perform an unauthorized operation.
At line:1 char:13 Get-WinEvent : Attempted to perform an unauthorized operation.
 + CategoryInfo          : NotSpecified: (:) [Get-WinEvent], UnauthorizedAccessException
 + FullyQualifiedErrorId : Attempted to perform an unauthorized operation.,Microsoft.PowerShell.Commands.GetWinEventCommand

これは新しい開発のようで、以前にこれらのエラーを受け取っていません。

それは一貫しています-別のサーバーから-computernameで実行すると、パターンは3つのOK行、Xのエラー、5つのOK行などになります。

他のイベントログでも発生しますか？たとえば、特定のイベントIDを持つログインイベントを表示するために次のコマンドを実行するとどうなるでしょうか。

Get-WinEvent -FilterHashtable @{logname='security'; id=@(4624,4634,4672,4648)}

それが機能する場合は、アクセスできないアプリケーションイベントログにいくつかの項目がある可能性があります。その場合、プロセスモニターなどを使用して、アクセスが拒否されている理由を確認する必要があります。

FilterHashtableパラメーターを使用してフィルター条件をGet-WinEventコマンドレットに渡すと、より良い結果が得られる場合があります。例については、http：//ss64.com/ps/get-winevent.htmlを参照してください。

ロックダウンされたシステムで、管理者以外のユーザーでもこれを実行できます。GPOのイベントログのアクセス許可と監査ポリシーを確認します。監査人だけがログを見ることができるように設定することができます。それが事実である場合幸運なトラブルシューティング。

セキュリティログでこの問題が発生しました。リモートからエントリが返されることはありませんget-winevent -logname security。ユーザーはを介してリモートセキュリティイベントログにアクセスできましたeventvwr.msc。

修正は登録ハックでした-このキーに権限を追加してください：

HKLM\System\CurrentControlSet\Services\eventlog\Security

読み取りアクセス権を持つユーザーのADグループを追加し、get-wineventその後完全に機能しました。