noaenassey
Goto Top

Ereignisprotokoll "Sicherheit" loggt keine Objektzugriffsversuche und generell sehr wenige Einträge.

Hallo Community,

wir haben folgende Domaincontroller:
1x Win2012 R2 (FSMO Rollen)
1x Win2008 R2 (ist auch gleichzeitig Fileserver)

Der Fileserver (FS) soll Objektzugriffsversuche protokollieren. Wie das generell funktioniert weiß ich, aber ich habe speziell ein Problem mit dem Ereignisprotokoll.

Da alle Objektzugriffsversuche in dem Ereignisprotokoll "Sicherheit" landen, was auch am Anfang funktionierte, wollte ich das Protokoll auf eine andere Partition verschieben (von C auf D) und habe auch die Option aktiviert, die automatisch volle Protokolle archiviert, damit die Systempartition nicht voll läuft.

Bei den ersten Versuchen, hatte ich vergessen, dass der User "eventlog" Zugriff auf diesen neuen Protokollordner erhalten muss, was mit folgender Fehlermeldung im Systemprotokoll quittiert wurde:

Protokollname: System
Quelle: Microsoft-Windows-Eventlog
Datum: 26.04.2016 11:49:47
Ereignis-ID: 23
Aufgabenkategorie:Dienststart
Ebene: Fehler
Schlüsselwörter:Dienstverfügbarkeit
Benutzer: LOKALER DIENST
Computer: xxx
Beschreibung:
Der Ereignisprotokollierungsdienst hat einen Fehler (Auflösung=5) beim Initialisieren der Protokollierung der Ressourcen für Kanal "Security" erkannt.

Zusätzlich erschien die Warnmeldung mit dem Hinweis, dass man es wieder mit dem Standard-Pfad probieren sollte:

Protokollname: System
Quelle: Microsoft-Windows-Eventlog
Datum: 26.04.2016 11:49:47
Ereignis-ID: 27
Aufgabenkategorie:Dienststart
Ebene: Warnung
Schlüsselwörter:Dienstkonfigurierung,Dienstverfügbarkeit
Benutzer: LOKALER DIENST
Computer: xxx
Beschreibung:
Der Ereignisprotokollierungsdienst hat beim Öffnen der Protokolldatei für den Kanal "Security" einen Konfigurationsfehler (Auflösung=5) erkannt. Wiederholen Sie den Vorgang, mit dem standardmäßige Protokolldateipfad "%SystemRoot%\System32\Winevt\Logs\Security.evtx".

Dann habe ich es soweit hinbekommen, dass ich den Pfad erfolgreich ändern konnte (mit den richtigen Rechten für "eventlog"), aber es wird kaum etwas unter "Sicherheit" protokolliert. Ich sehe nur ein paar Einträge, wenn z.B. die Gruppenrichtlinie des Servers übernommen werden. Insbesondere die Objektzugriffsversuche werden nicht mehr protokolliert, was ja vor der Pfad-Umstellung des Sicherheitsprotokolls funktioniert hatte. Stelle ich auf den Standard-Pfad wieder zurück, wird auch kein Objektzugriffsversuch protokolliert.

Ein simpler Neustart hat auch keine Besserung gebracht.

Hat irgendjemand einen Vorschlag, wie ich dem Fehler auf die Spur kommen könnte?

Content-ID: 303007

Url: https://administrator.de/contentid/303007

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

NoAenAssEy
NoAenAssEy 27.04.2016 um 12:52:56 Uhr
Goto Top
Ich habe auch testweise die Überwachung der Ordner entfernt und wieder neu konfiguriert, aber das Problem besteht nach wie vor.