問題タブ [event-log]

Silverlight 3 で分離ストレージを使用するイベント ログを作成した人はいますか? 実装に関する提案はありますか？

具体的な質問:

1. ストリーム ライターを開いたままにしておくべきですか、それともエントリごとに開いて書き込み、閉じる必要がありますか?
2. ログからアイテムをアトミックに削除するにはどうすればよいですか?

インスタンスへの書き込みを含むいくつかのビジネス ロジックで作成したライブラリがありSystem.Diagnostics.EventLogます。ライブラリは通常、Windows サービス アプリケーションから呼び出されますが、今回は同じライブラリ関数を ASP.NET MVC アプリケーションから呼び出そうとしています。

ログに書き込む必要があるメソッドに渡す EventLog インスタンスを作成するために、コントローラー内でこのコードを試しました。

ライブラリ メソッド内のコードがログに書き込もうとすると、次のエラーが生成されます。

私の Web アプリケーションは、IIS 6 を実行している Windows Server 2003 で Network Service ユーザーとして実行されています。Network Service ユーザーにレジストリへのアクセス権を付与するために何かする必要がありますか?

ASP.NET MVC アプリケーションで使用する EventLog インスタンスを作成するより良い方法はありますか? 参照する必要があるフレームワークによって既に作成されているものはありますか?

イベント ID を管理する方法を理解しようとしています。この時点まで、各メソッドに各イベント ID を手動で入れ、メソッドの各ステップに順番に番号を付けていました。これでは、イベント ログでイベントを効果的にフィルター処理できません。イベント ログでフィルターを使用するには、ログに記録されたすべてのイベントに独自の一意の ID が必要なようです。

説明がリンクされたテーブルにすべてを格納できますが、コードを実行すると、「魔法の」無意味なイベント コードがログに記録されます。

Google 検索を行いましたが、この問題の真相にたどり着くために使用する正しいキーワードについて途方に暮れているようです。

前もって感謝します

私たちのアプリケーションは未処理の例外をスローしています。DW20.exe は、次のテスト ケースのようにこれらをログに記録します。

P9 は例外の名前です。例外名が 32 文字を超える場合、DW20.exe は名前をハッシュします (おそらくハッシュをエンコードします)。たとえば、例外「LongExceptionWithNameThatIsOver32」は次のように記録されます。

ご覧のとおり、P9 はもはや例外名ではなく、名前のハッシュです。

アプリケーションで一度に 1 つずつ例外をスローすることもできますが、ハッシュを取得する代わりに、例外名をユーティリティ プログラムにフィードすることをお勧めします。DW20.exe がハッシュを行うプログラムであると確信しています (.NET ランタイムではありません)。すべての例外を処理して対応するハッシュ/エンコードを生成するユーティリティを構築できるように、dw20.exe が使用しているハッシュ/エンコード アルゴリズムを知りたいです。

テスト プログラムに windbg をアタッチしようとしましたが、dw20.exe が呼び出されません。Microsoftへの送信に関するダイアログボックスを表示するときにwindbgをdw20.exeに接続しようとしましたが、それまでにすでに例外が記録されています。windbg.exe の制御下で dw20.exe を起動できません。これは、何が使用されているかを調べる 1 つの方法です。

JR

System.Diagnostics.Eventing.Reader.EventLogWatcher クラスを使用してセキュリティ イベント ログをフックしています。2008 サーバー ボックスで、着信​​失敗ログイン (具体的には RDP) のイベント ID 4625 を監視しています。

ログのキャプチャは正常に機能しており、関連する後で処理するために結果をキューにダンプしています。ただし、キャプチャされたログの IPAddress データ フィールドが埋められている (解決されている) 場合と、そうでない場合があります。

サーバーを監視しながら windump を実行し、さまざまなサーバーと OS フレーバーから通常の RDP ログインを試みました。私は間違っているかもしれませんが、笑。

問題は、これらの接続に関するイベント ログ自体にあります。失敗した RDP ログインはすべてログに記録され、正しく処理されますが、一部のログには失敗した接続の送信元 IP アドレスが記録されません。

mstsc の一部の新しいフレーバーにより、何らかの理由でリモート イベント ログに送信元 IP アドレスが記録されませんか? これは、このフックされたサーバーに対して実行する他の 2008 サーバーにも当てはまるようです。これまで試した 2003 または XP マシンはすべて正しくログに記録されました。

さらに情報が必要な場合は、お知らせください。ありがとうございます！

編集

たとえば、sharpPcap を実装して、IP をイベントログに関連付けるなど、クレイジーなことをする必要がありますか? =/。lsass を照会することはできますか (通常、セキュリティ ログに書き込まれるのは lsass だけではありません)。

集中型監査ソリューションとして EventLog の使用を開始しようとしています。私が現在直面している問題は、ログ エントリの相関関係を記録することです。たとえば、あるコンポーネントで開始し、別のコンポーネントで終了する操作があります。この操作には一意の ID があります。そのため、エントリを操作 ID と関連付ける必要があります。

この操作 ID を EventLog に保存する方法は? 後で操作 ID を使用して、Windows イベント ビューアーでイベントをフィルター処理します。

Windows EventLog で、相関 ID フィールドを見つけました。使えそうです。しかし、関連する API が .NET System.Diagnostics.EventLog に見つかりません。さらに、この分野に関する情報が見つかりません。

サブジェクトに関するベスト プラクティスを提案してください。

カスタム アプリケーションが Windows EventLog にログを記録するときに使用する有効なイベント ID の範囲はありますか? または、任意のイベント ID (1、2、3、4....) を使用できます。PS、私は C#.NET で開発しています。

イベントログに次のエラーが表示されます。これは、ASP.Netアプリケーションからのものです。エラーの原因を突き止めるのに問題があります。どんな提案もありがたいです！

• OS：Windows Server 2000
• Webサーバー：IIS 6
• アプリケーション：ASP.Net v3.5

エラーログ

[MachineName]は、IISについて次のエラーをログに記録しました

詳細：ComputerName=[ComputerName]ユーザー=指定なしLogfile=アプリケーションタイプ=エラーEventType=1 SourceName = ASP.NET 2.0.50727.0 Category = 0CategoryString=指定なしEventCode=1334 EventID = -1073740490 TimeGenerated =20091125101806.000000-360 TimeWritten =20091125101806.000000 -360メッセージ=未処理の例外が発生し、プロセスが終了しました。

アプリケーションID：DefaultDomainプロセスID：1440例外：System.Runtime.Serialization.SerializationExceptionメッセージ：アセンブリ'Company.Common、Version = 1.0.0.0、Culture = neutral、PublicKeyToken=null'が見つかりません。

StackTrace：System.Runtime.Serialization.Formatters.Binary.BinaryAssemblyInfo.GetAssembly（）at System.Runtime.Serialization.Formatters.Binary.ObjectReader.GetType（BinaryAssemblyInfo assemblyInfo、String name）atSystem.Runtime.Serialization.Formatters.Binary。 ObjectMap..ctor（String objectName、String [] memberNames、BinaryTypeEnum [] binaryTypeEnumA、Object [] typeInformationA、Int32 [] memberAssemIds、ObjectReader objectReader、Int32 objectId、BinaryAssemblyInfo assemblyInfo、SizedArray assemIdToAssemblyTable）
System.Runtime.Serialization.Formatters.Binary .__ BinaryParser.ReadObjectWithMapTyped（BinaryObjectWithMapTyped record）at System.Runtime.Serialization.Formatters.Binary .__ BinaryParser.Run（）at System.Runtime.Serialization.Formatters.Binary.ObjectReader.Deserialize（HeaderHandler System.Runtime.Serialization.Formatters.Binary.BinaryFormatter.Deserialize（Stream serializationStream、HeaderHandler handler、Boolean fCheck、Boolean isCrossAppDomain、IMethodCallMessage methodCallMessage）のハンドラー、__ BinaryParser serParser、ブールfCheck、ブールisCrossAppDomain、IMethodCallMessage methodCallMessage） .Channels.CrossAppDomainSerializer.DeserializeObject（MemoryStream stm）at System.AppDomain.Deserialize（Byte [] blob）at System.AppDomain.UnmarshalObject（Byte [] blob）

Win7 で実行されている ASP.Net アプリ .net 3.5 SP1 があります。ログイン プロセス中に、ASP.Net ログイン コントロール内の何かによって、イベント ログのセキュリティ ログに書き込みが発生します (これは私には受け入れられるように思えます)。問題は、アプリにこれを行う権限がないように見えることです。エラーがあります：

説明: アプリケーションは、セキュリティ ポリシーで許可されていない操作を実行しようとしました。このアプリケーションに必要な権限を付与するには、システム管理者に連絡するか、構成ファイルでアプリケーションの信頼レベルを変更してください。

例外の詳細: System.Security.SecurityException: タイプ 'System.Diagnostics.EventLogPermission、System、Version=2.0.0.0、Culture=neutral、PublicKeyToken=b77a5c561934e089' のアクセス許可の要求が失敗しました。

スタック トレースには、アプリケーションのコードが 1 行も表示されず、すべてがフレームワーク内にあります。最後の 5 行: System.Security.CodeAccessSecurityEngine.Check(Object demand, StackCrawlMark& stackMark, Boolean isPermSet) +0 System.Security.CodeAccessPermission.Demand() +61 System.Diagnostics.EventLog..ctor(String logName, String machineName , String source) +125 System.Diagnostics.EventLog..ctor() +24 System.Diagnostics.EventLog.WriteEntry(String source, String message, EventLogEntryType type, Int32 eventID, Int16 category, Byte[] rawData) +52

この同じアプリは、XP SP2 で正常に動作します。探し回ったのですが、許可を与える方法が見つかりません。アプリ プールを LocalSystem および ApplicationPoolIdentity として実行してみました。

これを実行する最も簡単な方法は何ですか? それは私のローカル開発マシンであり、コードを変更する必要がない限り、セキュリティホールを開いても気にしません（つまり、解決策がINETMGRの変更またはweb.configまたはいくつかのローカル権限などである必要があります） ）。

ありがとう！