問題タブ [sccm]

Logstash/Grok で利用できる優れたドキュメントのおかげで、Logstash で多数の Windows イベントとフラット ログ ファイルを使用する小さな POC が動作しています。

この経験を文書化し、いつかブログに書こうとする私の努力の中で、私は過去を乗り越えることができないように見える厄介なログエントリに遭遇しました.優れたオンラインのGrokDebuggerでさえ、これらの厄介な引用符で囲まれた文字列を識別できません.

以下は、部分が %{QS} 引用符で囲まれた文字列としてのみ識別されているログ ファイルのサンプル行です。

GrokDegugger はこれを次のように認識します。

理想的には、次のようにイベントを抽出したいと思います。

• @message = "Running 状態のプログラム SU Scan for Updates パッケージ XXXXXXXXX に対する持続的な要求"
• @タイムスタンプ = 14:21:46.455+480
• @date = 02-16-2010
• @コンポーネント = execmgr
• @スレッド = 3328

コミュニティ内で、System Center ログからのイベントの解析/抽出に成功した人はいますか?

前もって感謝します！

I've been struggling to launch a process started under Local System Account (via remote deployment service) under another registered user account. I've followed these steps:

http://msdn.microsoft.com/en-us/library/windows/desktop/aa379608%28v=vs.85%29.aspx

And it works on my local XP-machine. I.e. my process is started from the registered user account and executes everything in the right context. But one of the users (also on XP) has issues, getting error code 5 after CreateProcessAsUser. I cannot reproduce this and am trying to investigate why this is happening. Interestingly I even removed the permissions to Read/Execute for my registered admin on a specific folder I've got my exe in, but it still runs everything, so I'm not quite sure where to look to find the source of the problem. I would appreciate any advice in which direction to look in order to resolve this. Maybe you've had similar experience and managed to find a way how to resolve this?

Thanks!

PS I'm simulating local system admin via psexec /si cmd

全て、

SCCM インフラストラクチャ (2012) で WINPE.WIM を展開/使用しようとしています。配布ポイントを更新した後、SMSPXE ログを確認すると、次のように記載されています。

BootImage PSI000C7 を更新する必要があります (新しい packageID=PSI000C7) VersionUpdate=true

BootImage からすべての DP を取り出そうとし、「このブート イメージを PXE 対応の配布ポイントから展開する」を切り替えようとし、WDS サービスを再起動して、タスク シーケンスをターゲット コレクションに「再展開」しました。

残念ながら、私が試したことはどれもうまくいきませんでした。

他の誰かがこれを経験したことがありますが、もしそうなら、どうすれば強制的に WIM を更新できますか?

ありがとう、レイジド。

System Center Configuration Manager R2 のコレクションのメンバーシップ ルールについては、少し複雑な WQL クエリを作成する必要があり、ロジックを構築するのに苦労しました。

ユーザーとシステムの 2 つのテーブルが必要だとします。

私の目標は、「最後にログオンしたユーザー」(システム テーブルの列) の「オフィス」(ユーザー テーブルの列) が特定の値に等しいすべてのシステムを取得するクエリを作成することです。

サブセレクトが必要だと思いますが、正確なロジックがわかりません。

PowerShell スクリプトで WMI アクセラレータを使用すると、認証を渡すことができないという明確な記述がどこかに見つからないようです。

少し背景を...

私は SCCM 2012 用の PowerShell スクリプトを作成していますが、たとえば、次のようにかなり使用されていることがわかりました。

ローカルで実行すると (SCCM プライマリ サーバー上で)、問題なく迅速に動作します。ただし、 W7 を実行しているデスクトップ コンピューターから実行すると、次のエラーが発生します。

当面、PSSession を使用することは論外です。私が対処しなければならない現在のインフラストラクチャでは、SCCM コマンドレットを使用することは問題外です。

ここでの唯一の質問は、WMI アクセラレータで認証を通過できないことを確認できますか? その時点で、私は主に好奇心でその答えを探しています。現在の制約を管理する方法を見つけました。アクセルがとても「エレガント」だと思うだけです。

なぜそれが必要なのですか？SCCM プライマリ サーバーへの接続/アクセスを許可された名前とは異なるアカウントでユーザーがログオンしているデスクトップ コンピューターから、SCCM コマンドレットを使用せずに "遅延プロパティ" にアクセスする必要があります。

Get-WMIObject コマンドレットで "*.__PATH" を使用する方法がわかりませんでした。

UI (SCCM 2012) を使用する場合、コレクション (ColA としましょう) を削除できるようにするには、最初に次のような別のルール (ColB としましょう) にリンクされていないことを確認する必要があります。

• CollB には CollA が含まれます
• CollC は CollA を除く

多数のコレクションを扱う場合、コレクションの削除に時間がかかることがあります。そのため、スクリプトを作成しましたが、

• RDP 経由で接続する必要をなくすためにリモートで使用可能
• CollA にルールが残っていないことを確認します (ColA を削除したい場合は問題ありません)。
• CollA が他のコレクションに「リンク」されているかどうかを確認します (ルールを含めるか除外するか)。
• 見つかったすべてのルールを削除します (ColB と CollA の間、ColC と CollA の間)

CollA を削除する方法が見つからないため、現在行き詰まっています。認証とリモートの目的で、私は多くの Powershell と WMI を使用しています。

その時点で、メソッド Delete() を見つけました。これを使用しようとすると、次のようになります。

それが私が使用すべき方法である場合、渡される引数は何ですか?

編集1

theMadTechnician が指摘したように、SCCM コレクションは、一度 $CollA で取得された System.Management.ManagementObject です。MSDN ページで説明されているように、次の方法を使用できるはずです。

• Delete() > 上記のエラーが発生します
• Delete(DeleteOptions) > 必要なオプションの仕様が見つかりません
• Delete(ManagementOperationObserver) > 必要なオプションの仕様が見つかりません

*.Delete() に関する MSDN ページを正しく理解していることを確認するために、次のことを (成功して) 試しました。

編集2

実際には、コンソールから SCCM コレクションを削除すると、インベントリから削除されるのはコレクションだけではありません。たとえば、割り当てが削除されすぎています。MySQL や ORACLE を扱うときの CASCADE スイッチを思い起こさせます。多分私がやろうとしていることは不可能です

• コンソールを使用せずに
• SCCM コマンドレットを使用せずに

そのようにできない場合は、確認する必要があります。

編集3

ある程度成熟した後、私はそれが承認の問題ではないかと考え始めています. つまり、「-credential」スイッチで使用しているアカウント、またはサーバーに接続して SCCM コンソールを開くときに使用しているアカウントでは、コレクションを作成/更新/削除できますが、たとえば、コレクションを削除することはできません。デバイス。エラーメッセージは異なると思いますが、誰が知っていますか?

コマンドラインからデバイスを削除しようとして、多かれ少なかれ同じ問題について（脱線して申し訳ありません）、これを見つけ、同じエラーメッセージが表示されました（上記を参照）。それが私ではなく他の人にとってはうまくいく場合、それは承認に関連している可能性がありますか?

編集4

テクニカル アカウントよりも多くの「権限」を持つサービス アカウントを要求しました。テストしましたが、同じエラーが発生しました。私は認可仮説を脇に置いています。

私は、WQL (WMI Query Language) の世界に慣れていません。WQL を使用して ConfigMgr 2012 にクエリを実行しようとしていますが、コンマ区切りの select 句で列の名前を指定しようとするとエラーが発生します。このエラーは、フェッチされる列が配列型で、NULL 値が含まれている場合にのみ発生します。配列列にいくつかの値がある場合は正常に機能します。列が非配列型 (string、int など) で、null 値が含まれている場合でも、同じことが正常に機能します。以下のサンプルクエリを詳しく説明しました。

次のクエリを起動すると、うまく機能します。

クエリ # 1:SELECT * from SMS_PROGRAM

しかし、次のクエリを起動すると、エラーが発生します。

クエリ # 2:SELECT PackageID, SupportedOperatingSystems from SMS_PROGRAM

(GenericFailure) エラー コード番号 0x80041001

ここSupportedOperatingSystemsで、7 つのレコードを含む結果セットに含まれるすべてのレコードのプロパティは null です。SMS_OS_Detailsこのプロパティは、クラスのオブジェクトを含む配列です。これらの詳細は、wbemtest ツールを使用して取得しました。誰かがこの問題に遭遇したことがあれば、どんな助けも大歓迎です.