powershell - Powershell命令在执行时出错
问题描述
我正在尝试将 Windows 安全事件从我的转发服务器转发到收集器。因此,我执行了一些配置,并且能够获取除安全事件之外的所有其他 Windows 事件(即系统、应用程序等)。
我收到以下错误:
错误 - 上次重试时间:2020 年 4 月 21 日上午 7:20:07。代码 (0x138C):Windows 事件转发插件无法从查询中读取任何事件,因为查询没有返回活动通道。请检查查询中的频道并确保它们存在并且您可以访问它们。下次重试时间:4/21/2020 8:20:07 AM。
我查了一下,发现下面的文章:
- https://rockyprogress.wordpress.com/2011/12/04/security-event-log-collection-from-a-domain-controller/
- https://community.microfocus.com/t5/ArcSight-User-Discussions/Error-0x138c-when-deploy-Windows-Event-Forwarding/td-p/1577930
在 PS 我运行命令:
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
但我得到了错误:
At line:1 char:38
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:52
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:55
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:65
+ ... util sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:68
+ ... il sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:88
+ ... BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1; ...
+ ~
Unexpected token ')' in expression or statement.
At line:1 char:91
+ ... G:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;; ...
+ ~
Missing closing ')' in expression.
At line:1 char:107
+ ... ;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
+ ~
Unexpected token ')' in expression or statement.
+ CategoryInfo : ParserError: (:) [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : MissingEndParenthesisInExpression
我知道它在抱怨什么,但不明白为什么,因为它对我来说看起来不错。有人可以帮忙吗?
解决方案
PowerShell 将分号解释为语句终止符。为了防止它这样做,请在整个/ca:
参数周围加上引号......
wevtutil sl security '/ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
根据该应用程序解析参数的方式,您也可以只引用参数的值
wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
推荐阅读
- python - 通过 Xpath 查找无法按预期工作?硒蟒
- angular8 - 如何退订 BehaviorSubject Angular 8
- docker - 为什么我的 Haskell 程序不能在带有 Alpine 或 Scratch 的 Docker 中运行?
- excel - 使用 VBA 单击 javascript 链接,出现“需要对象”错误
- java - gson 对象往返 json 导致异常
- php - 在 MAMP Pro 中安装 PHP ZIP 扩展
- python - 更改列表中特定元素的类型 - python
- google-apps-script - 从 gmail 正文中提取行+列到电子表格
- c++ - 为什么 QProcess::readAllStandardOutput 读取不是所有的输出通道?
- python - 从递归嵌套的字段列表创建部分字典