Je suis responsable de l'exécution des sauvegardes centralisées des journaux de sécurité Windows sur un réseau de ~ 15 boîtes Windows. Pour automatiser cette tâche, j'ai écrit un script Powershell qui utilise le paramètre/r de wevtutil pour tout faire à distance. Toutes les boîtes sont connectées à un lecteur réseau Sharepoint dans lequel j'espérais copier les journaux afin de pouvoir centraliser tous les journaux, mais j'ai rencontré des problèmes.remote wevtutil "Le compte n'est pas autorisé à se connecter depuis cette station."
Le script s'exécute correctement lorsque je lui passe l'adresse IP de la boîte Windows sur laquelle il s'exécute. Les journaux sont copiés sur Sharepoint sans accroc. Le script fonctionne également correctement lorsque je lui dis de copier les journaux localement. Toutefois, lorsque le script tente de copier à distance le journal de l'ordinateur sur le point de partage, j'obtiens une erreur Failed to Archive Security log. The account is not authorized to log in from this station.
.
Le format de la commande est
wevtutil epl Security \\path\to\sharepoint\[hostname]-[datetime]Security.evtx /r:[hostname]
Je courais le script en tant qu'administrateur de domaine. J'ai également exécuté le script avec les informations d'identification d'un administrateur local et j'ai reçu une erreur d'accès générique refusée.
Une recherche google pour le message d'erreur comprend la plupart des ordinateurs ne pas pouvoir accéder à des lecteurs réseau (non wevtutil à distance spécifiquement) et inclure beaucoup de déconner dans
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
ou
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
qui n'ont donné aucun résultat. Je suis également limité à Powershell 1, donc je ne peux pas utiliser Powershell lui-même à distance AFAIK.
Je pourrais simplement mettre le script sur chaque machine et l'exécuter localement avec le planificateur de tâches, mais j'espérais une solution plus élégante. Est-ce que quelqu'un a de l'expérience avec wevtutil de cette manière et peut me pointer dans la bonne direction, ou peut-être même suggérer une meilleure technique/outil?