Home
  •  

Fehler in DRS aufgrund unzureichender Berechtigungen zum Schreiben in Ãœberwachungsprotokoll

Microsoft.ActiveDirectoryFederationServices.2016.DRSInsufficientPrivilegesWritingToAuditLogError (Rule)

Knowledge Base article:

Zusammenfassung

Dieser Monitor weist auf einen Fehler mit den Zugriffsrechten auf die Überwachung hin, wenn der Geräteregistrierungsdienst bei Schreibvorgängen darauf zugreift.

Ursachen

Das Dienstkonto verfügt nicht über ausreichende Berechtigungen zum Schreiben in das Windows-Sicherheitsüberwachungsprotokoll.

Lösungen

Überprüfen Sie, ob das Konto, unter dem der Geräteregistrierungsdienst ausgeführt wird, über Berechtigungen zum Schreiben in die Überwachungseinträge verfügt.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.OnPremisesDeviceRegistrationService
CategoryEventCollection
EnabledTrue
Event_ID3000
Event Source$Target/Id$
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
InsufficientPrivilegesWritingToAuditLogError
Ereignisbeschreibung: {0}
Event LogActive Directory Web Services

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.DRSInsufficientPrivilegesWritingToAuditLogError" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.OnPremisesDeviceRegistrationService" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Active Directory Web Services</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">3000</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">$Target/Id$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.DRSInsufficientPrivilegesWritingToAuditLogError.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression/>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>