Home
  •  

Erreur de privilèges d'écriture DRS insuffisants pour écrire dans le journal d'audit

Microsoft.ActiveDirectoryFederationServices.2012.R2.DRSInsufficientPrivilegesWritingToAuditLogError (Rule)

Knowledge Base article:

Résumé

Ce système de surveillance indique une erreur de droits d'accès à l'audit lorsque le Service d'inscription des périphériques (DRS) tente d'y accéder pour les opérations d'écriture.

Causes

Le compte de service ne dispose pas de suffisamment d'autorisations pour écrire sur le journal d'audit de sécurité Windows.

Résolutions

Vérifiez que le compte sous lequel est exécuté le Service d'inscription des périphériques (DRS) dispose de droits d'écriture dans les entrées d'audit.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices2012R2.OnPremisesDeviceRegistrationService
CategoryEventCollection
EnabledTrue
Event_ID3000
Event Source$Target/Id$
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
InsufficientPrivilegesWritingToAuditLogError
Description de l'événement : {0}
Event LogActive Directory Web Services

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2012.R2.DRSInsufficientPrivilegesWritingToAuditLogError" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.OnPremisesDeviceRegistrationService" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Active Directory Web Services</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">3000</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">$Target/Id$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2012.R2.DRSInsufficientPrivilegesWritingToAuditLogError.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression/>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>