Share via

Сбой переадресации журналов событий безопасности при 0x138C ошибок и 5004 в Windows Server

  • Статья

В этой статье описывается решение проблемы, из-за которой переадресация журналов событий безопасности завершается ошибкой 0x138C и 5004 в Windows Server.

Применимо к: Все поддерживаемые версии Windows Server
Исходный номер базы знаний: 4047777

Симптомы

При попытке переслать журналы событий безопасности в Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 на компьютере сборщика событий появляется следующее сообщение об ошибке:

Ошибка "0x138C" Подключаемый модуль пересылки событий Windows не может прочитать ни одно событие из запроса, так как запрос не возвращает активный канал.

Кроме того, на исходном компьютере события появляется следующее сообщение об ошибке:

SubscriptionSubscriptionName не может быть создан. Код ошибки — 5004.

Причина

Эта проблема может возникнуть при выполнении следующих условий:

  • Учетная запись сетевой службы не имеет правильного разрешения, когда удаленное управление Windows (WinRM) пытается запросить журналы безопасности с исходного компьютера.

  • Разрешения на управление журналом событий безопасности изменяются реестром или путем настройки журнала аудита и безопасности, который задает следующую запись реестра на исходном компьютере:

    • Раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
    • Запись реестра: CustomSD
    • Значение: O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx)

Разрешение

Чтобы устранить эту проблему, необходимо добавить учетную запись сетевой службы в групповую политику Управление журналом аудита и безопасности . Для этого выполните следующие действия:

  1. Выберите Запустить>локальную политику безопасности средств >администрирования.
  2. В меню навигации выберите Локальные политики>Назначение прав пользователя.
  3. Щелкните правой кнопкой мыши Управление аудитом и журналом безопасности, а затем выберите Свойства.
  4. На вкладке Локальный параметр безопасности щелкните Добавить пользователя или группу , чтобы добавить учетную запись сетевой службы.

Предыдущая процедура добавляет идентификатор безопасности S-1-5-20 (хорошо известный идентификатор безопасности учетной записи сетевой службы) в указанное выше значение реестра CustomSD . Вы также можете вручную добавить значение в раздел реестра. После изменения значение будет выглядеть следующим образом:

O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx);;; S-1-5-20