Powershell 命令在執行時出錯

Question

我正在嘗試將 Windows 安全事件從我的轉發服務器轉發到收集器。 因此，我執行了一些配置，並且能夠獲取除安全事件之外的所有其他 Windows 事件（即系統、應用程序等）。

我收到以下錯誤：

錯誤 - 上次重試時間：2020 年 4 月 21 日上午 7:20:07。 代碼 (0x138C)：Windows 事件轉發插件無法從查詢中讀取任何事件，因為查詢沒有返回活動通道。 請檢查查詢中的頻道並確保它們存在並且您可以訪問它們。 下次重試時間：4/21/2020 8:20:07 AM。

我查了一下，發現下面的文章：

• https://rockyprogress.wordpress.com/2011/12/04/security-event-log-collection-from-a-domain-controller/
• https://community.microfocus.com/t5/ArcSight-User-Discussions/Error-0x138c-when-deploy-Windows-Event-Forwarding/td-p/1577930

在 PS 我運行命令：

wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

但我得到了錯誤：

At line:1 char:38
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+                                      ~
Missing closing ')' in expression.
At line:1 char:52
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+                                                    ~
Unexpected token ')' in expression or statement.
At line:1 char:55
+ wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;; ...
+                                                       ~
Missing closing ')' in expression.
At line:1 char:65
+ ... util sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1; ...
+                                                                 ~
Unexpected token ')' in expression or statement.
At line:1 char:68
+ ... il sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;; ...
+                                                                  ~
Missing closing ')' in expression.
At line:1 char:88
+ ... BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1; ...
+                                                                 ~
Unexpected token ')' in expression or statement.
At line:1 char:91
+ ... G:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;; ...
+                                                                  ~
Missing closing ')' in expression.
At line:1 char:107
+ ... ;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
+                                                                         ~
Unexpected token ')' in expression or statement.
    + CategoryInfo          : ParserError: (:) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : MissingEndParenthesisInExpression

我知道它在抱怨什么，但不明白為什么，因為它對我來說看起來不錯。 有人可以幫忙嗎？

Answer 1

PowerShell 將分號解釋為語句終止符。 為了防止它這樣做，請在整個/ca:參數周圍加上引號...

wevtutil sl security '/ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'

根據該應用程序解析參數的方式，您也可以只引用參數的值

wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'