Поделиться через

Сбой пересылки журнала событий безопасности с ошибками 0x138C и 5004 в Windows Server

  • Статья

В этой статье описывается решение проблемы, из-за которой сбой пересылки журнала событий безопасности сбоем с ошибками 0x138C и 5004 в Windows Server.

Область применения: все поддерживаемые версии Windows Server
Исходный номер базы знаний: 4047777

Симптомы

При попытке пересылать журналы событий безопасности в Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 вы получите следующее сообщение об ошибке на компьютере сборщика событий:

Ошибка "0x138C" подключаемого модуля пересылки событий Windows не может считывать событие из запроса, так как запрос не возвращает активный канал.

Кроме того, на исходном компьютере события появится следующее сообщение об ошибке:

Создается подпискаSubscriptionNamecannot. Код ошибки — 5004.

Причина

Эта проблема может возникать, если выполняются следующие условия:

  • Учетная запись сетевой службы не имеет правильного разрешения при попытке удаленного управления Windows (WinRM) запрашивать журналы безопасности с исходного компьютера.

  • Разрешения на управление журналом событий безопасности изменяются реестром или путем настройки журнала аудита и безопасности, который задает следующую запись реестра на исходном компьютере:

    • Раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
    • Запись реестра: CustomSD
    • Значение: O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx)

Разрешение

Чтобы устранить эту проблему, необходимо добавить учетную запись сетевой службы в групповую политику управления аудитом и журналом безопасности. Для этого выполните следующие шаги.

  1. Выберите "Запустить>локальную политику безопасности администрирования".>
  2. В меню навигации выберите назначение прав пользователей локальных политик>.
  3. Щелкните правой кнопкой мыши управление аудитом и журналом безопасности и выберите пункт "Свойства".
  4. На вкладке "Локальный параметр безопасности" нажмите кнопку "Добавить пользователя или группу ", чтобы добавить учетную запись сетевой службы.

Предыдущая процедура добавляет идентификатор SID S-1-5-20 (известный идентификатор безопасности учетной записи сетевой службы) в значение реестра CustomSD , которое упоминалось выше. Вы также можете вручную добавить значение в раздел реестра. После изменения значение выглядит следующим образом:

O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx);;; S-1-5-20