Event Forwarding von Event ID 4698 von Clients auf Server 2016
Hallo zusammen,
ich bin gerade dabei, bei uns im Unternehmen Event Forwarding einzurichten. Bisher hat auch alles Funktioniert, das Forwarding ist Quellinitiiert - also via GPO - eingerichtet und loggt soweit auch alles was ich haben will. Stecke aber schon seit ein paar Tagen beim loggen der Event ID 4698 (Scheduled Task was created) fest. Sonderbarerweise bekomme ich nur von einer (nämlich meiner eigenen) Maschine das Event weitergeleitet. Lokale Sicherheitsrichtlinie wurde bereits mit einer Maschine, welche das Ereignis nicht weiterleitet, verglichen und es konnte keine Abweichung festgestellt werden.
Würde das logging der Event ID 4698 gerne ebenfalls über eine GPO realisieren. Habe bereits unter Computerkonfiguration - Win-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien/Sicherheitsoptionen die Richtlinie "Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen..." und unter Erweiterte Überwachungskonfiguration die Option "Andere Objektzugriffsereignisse überwachen" eingeschaltet.
Bin langsam etwas am verzweifeln, da man dazu online so gut wie nichts findet. Vielleicht hat jemand hier schon Erfahrungen damit gemacht und kann mir weiterhelfen
Danke schon mal im Vorraus!
LG Hagen
ich bin gerade dabei, bei uns im Unternehmen Event Forwarding einzurichten. Bisher hat auch alles Funktioniert, das Forwarding ist Quellinitiiert - also via GPO - eingerichtet und loggt soweit auch alles was ich haben will. Stecke aber schon seit ein paar Tagen beim loggen der Event ID 4698 (Scheduled Task was created) fest. Sonderbarerweise bekomme ich nur von einer (nämlich meiner eigenen) Maschine das Event weitergeleitet. Lokale Sicherheitsrichtlinie wurde bereits mit einer Maschine, welche das Ereignis nicht weiterleitet, verglichen und es konnte keine Abweichung festgestellt werden.
Würde das logging der Event ID 4698 gerne ebenfalls über eine GPO realisieren. Habe bereits unter Computerkonfiguration - Win-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien/Sicherheitsoptionen die Richtlinie "Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen..." und unter Erweiterte Überwachungskonfiguration die Option "Andere Objektzugriffsereignisse überwachen" eingeschaltet.
Bin langsam etwas am verzweifeln, da man dazu online so gut wie nichts findet. Vielleicht hat jemand hier schon Erfahrungen damit gemacht und kann mir weiterhelfen
Danke schon mal im Vorraus!
LG Hagen
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 600873
Url: https://administrator.de/forum/event-forwarding-von-event-id-4698-von-clients-auf-server-2016-600873.html
Ausgedruckt am: 04.05.2025 um 07:05 Uhr
3 Kommentare
Neuester Kommentar
Hallo Hagen,
wird denn das Event auf dem Computer auf dem es gerade nicht geht im Event-Viewer gezeigt? Aus deiner Beschreibung ist nicht ganz ersichtlich, ob du vom Loggen des Events, oder von der Weiterleitung sprichst.
Zweite Frage: Wohin wird/soll das Event geschickt werden?
Grüße,
Christopher
wird denn das Event auf dem Computer auf dem es gerade nicht geht im Event-Viewer gezeigt? Aus deiner Beschreibung ist nicht ganz ersichtlich, ob du vom Loggen des Events, oder von der Weiterleitung sprichst.
Zweite Frage: Wohin wird/soll das Event geschickt werden?
Grüße,
Christopher
1
Hey Christian, erstmal danke für deine Antwort.
Erste Frage:
Das Event wird auf den Clients, die das Event nicht weiterleiten (sind leider alle die geloggt werden sollen bis auf meinen Client) im Ereignisprotokoll angezeigt. Deshalb ist es ja so verwunderlich, soweit ich informiert bin muss lediglich die GPO "Andere Objektzugriffsereignisse überwachen" aktiviert sein, damit das Event 4698 geloggt wird (habe mal ein Screenshot der GPO-Einstellungen angefügt). Es geht also hier nur um die Weiterleitung des Events.
Zweite Frage:
Die Events werden an den Server, den ich dafür aufgesetzt hatte weitergeleitet. Im Ereignislog unter "Abonnements" können u.A über GPOs ausgewählte Events weitergeleitet werden. Dort werden die PCs und die Events konfiguriert, welche weitergeleitet werden sollen, dies geht auch prima bis eben auf dieses eine Event.
Hier ein kleines Bild der Konfiguration des gewünschte Events, falls es weiterhilft.
LG Hagen
Erste Frage:
Das Event wird auf den Clients, die das Event nicht weiterleiten (sind leider alle die geloggt werden sollen bis auf meinen Client) im Ereignisprotokoll angezeigt. Deshalb ist es ja so verwunderlich, soweit ich informiert bin muss lediglich die GPO "Andere Objektzugriffsereignisse überwachen" aktiviert sein, damit das Event 4698 geloggt wird (habe mal ein Screenshot der GPO-Einstellungen angefügt). Es geht also hier nur um die Weiterleitung des Events.
Zweite Frage:
Die Events werden an den Server, den ich dafür aufgesetzt hatte weitergeleitet. Im Ereignislog unter "Abonnements" können u.A über GPOs ausgewählte Events weitergeleitet werden. Dort werden die PCs und die Events konfiguriert, welche weitergeleitet werden sollen, dies geht auch prima bis eben auf dieses eine Event.
Hier ein kleines Bild der Konfiguration des gewünschte Events, falls es weiterhilft.
LG Hagen
Push :/
