daywalker75
Goto Top

Event logs on system - In 24 hours more than 200,000 log events are generated

Hallo zusammen,

Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang

Der Kunde stellt mir nun folgende Fragen. Habt Ihr da eine Idee ?


The system is generating an enormous amount of event logs.
In under 24 hours more than 200,000 log events are generated or more than 130 megabytes of data a day.

A review of the Domain Controller from the 2016-11-08 to 2016-11-09, shows the following:


• 4624 = Logon
• 4634 = Logoff
• 4768 = Kerberos Authentication Service
• 4769 = Kerberos Service Ticket
• 4907 = Audit Policy Changes

Why are there more than 53,000 Logons to the system each day?
(I suspect the large amount of Kerberos Authentication Service and Kerberos Service Ticket are because of all the logon and logoffs)

Why are they any Audit policy changes made on file level?
4907
4624
4769
event id
4634
4768

Content-ID: 320541

Url: https://administrator.de/forum/event-logs-on-system-in-24-hours-more-than-200-000-log-events-are-generated-320541.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

131381
Lösung 131381 10.11.2016 aktualisiert um 15:23:59 Uhr
Goto Top
Ist doch normal wenn man das Auditing nicht auf das nötigste in der lokalen Policy begrenzt.
Die Logon Events sind nicht nur echte User-Logins sondern auch sämtliche Service Logins etc. pp. Teilweise gehören 5 oder mehr Einträge zu ein und dem selben Authentifizerungsvorgang, das kann ein simpler Zugriff von einem Client in einer Konsole auslösen und diverse andere Prozesse die sich Authentifizieren, die gehören alle in die Kategorie Logon.
Das ist völlig normal wenn man alle möglichen Audits loggt. Das ist je nach Domain noch wenig face-wink

Um echte Logins auszufiltern setzt man einen entsprechenden Filter.

Gruß
Pjordorf
Lösung Pjordorf 10.11.2016 um 15:42:55 Uhr
Goto Top
Hallo,

Zitat von @Daywalker75:
Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang
Ohne jetzt alles durchzugehen:
Anzahl Clients im Netz?
Anzahl Benutzer im Netz?
Anzahl andere Geräte welche ebenfalls An- Abmeldungen durchführen (z.B. Scanner, Smartphones usw.)?
Erwartete anzahl An- bzw. Abmeldungen im Netz und auf welchen DCs?
Was genau ist zur Protokollierung unnötigerweise eingestellt?
Reichen die Platten wohin die Protokolle Schreiben wenn alles mögliche Protokoliiert werden soll?
Tauchen IPs in den Protokollen auf welche nicht dort erwartet werden bzw. bekannt sind?

Der Kunde stellt mir nun folgende Fragen. Habt Ihr da eine Idee ?
Warum stellt der Kunde dir diese Fragen wo du offensichtlich kein plan von hast? Oder sollst du ein Audit ...?

In under 24 hours more than 200,000 log events are generated or more than 130 megabytes of data a day.
Wenns so sein soll ist doch allesa gut - oder hat der Kunde nur einen einzigen PC?
Wer hat denn definiert was alles Protokolliert werden soll? Werden ja gründe dafür gewesen sein, oder?

Why are they any Audit policy changes made on file level?
Weil evtl. Prozesse dies verlangen?

Vielleicht ein Amok laufender PC
Vielleicht eine VDI Farm welche abgerntet wird
Unerwünschte Besucher im Netz
Benutzer die nicht wissen was die tun

Gruß,
Peter
Daywalker75
Daywalker75 10.11.2016 um 15:44:50 Uhr
Goto Top
Mikrotik,

Danke erstmal für die schnelle Antwort. Kannst du mir auch sagen, wie ich das eingrenzen kann ?

Viele Grüße aus Dänemark
Daywalker75
Daywalker75 10.11.2016 um 16:11:00 Uhr
Goto Top
Vielen Dank für die Antworten.

Tatsächlich waren die Logs auch so gewünscht. Mir schien das alles etwas zu viele Logs. Der Kunde selber war etwas überrascht. Jedoch kam der Richtige Ansprechpartner und zeigte uns die Definition von Audit Policy
.
Also war alles normal.

Nochmals vielen Dank an alle.

Gruß
Daywalker
Pjordorf
Pjordorf 10.11.2016 um 16:18:15 Uhr
Goto Top
Hi,

Zitat von @Daywalker75:
Also war alles normal.
Na dann ist dein Urlaub ja nochmal gerettet face-smile

Gruß,
Peter
Daywalker75
Daywalker75 10.11.2016 um 16:33:28 Uhr
Goto Top
So sieht´s aus face-smile