7
Event logs on system - In 24 hours more than 200,000 log events are generated
Hallo zusammen,
Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang
Der Kunde stellt mir nun folgende Fragen. Habt Ihr da eine Idee ?
The system is generating an enormous amount of event logs.
In under 24 hours more than 200,000 log events are generated or more than 130 megabytes of data a day.
A review of the Domain Controller from the 2016-11-08 to 2016-11-09, shows the following:
• 4624 = Logon
• 4634 = Logoff
• 4768 = Kerberos Authentication Service
• 4769 = Kerberos Service Ticket
• 4907 = Audit Policy Changes
Why are there more than 53,000 Logons to the system each day?
(I suspect the large amount of Kerberos Authentication Service and Kerberos Service Ticket are because of all the logon and logoffs)
Why are they any Audit policy changes made on file level?
Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang
Der Kunde stellt mir nun folgende Fragen. Habt Ihr da eine Idee ?
The system is generating an enormous amount of event logs.
In under 24 hours more than 200,000 log events are generated or more than 130 megabytes of data a day.
A review of the Domain Controller from the 2016-11-08 to 2016-11-09, shows the following:
• 4624 = Logon
• 4634 = Logoff
• 4768 = Kerberos Authentication Service
• 4769 = Kerberos Service Ticket
• 4907 = Audit Policy Changes
Why are there more than 53,000 Logons to the system each day?
(I suspect the large amount of Kerberos Authentication Service and Kerberos Service Ticket are because of all the logon and logoffs)
Why are they any Audit policy changes made on file level?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320541
Url: https://administrator.de/contentid/320541
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
7 Kommentare
Neuester Kommentar
Ist doch normal wenn man das Auditing nicht auf das nötigste in der lokalen Policy begrenzt.
Die Logon Events sind nicht nur echte User-Logins sondern auch sämtliche Service Logins etc. pp. Teilweise gehören 5 oder mehr Einträge zu ein und dem selben Authentifizerungsvorgang, das kann ein simpler Zugriff von einem Client in einer Konsole auslösen und diverse andere Prozesse die sich Authentifizieren, die gehören alle in die Kategorie Logon.
Das ist völlig normal wenn man alle möglichen Audits loggt. Das ist je nach Domain noch wenig
Um echte Logins auszufiltern setzt man einen entsprechenden Filter.
Gruß
Die Logon Events sind nicht nur echte User-Logins sondern auch sämtliche Service Logins etc. pp. Teilweise gehören 5 oder mehr Einträge zu ein und dem selben Authentifizerungsvorgang, das kann ein simpler Zugriff von einem Client in einer Konsole auslösen und diverse andere Prozesse die sich Authentifizieren, die gehören alle in die Kategorie Logon.
Das ist völlig normal wenn man alle möglichen Audits loggt. Das ist je nach Domain noch wenig
Um echte Logins auszufiltern setzt man einen entsprechenden Filter.
Gruß
Hallo,
Anzahl Clients im Netz?
Anzahl Benutzer im Netz?
Anzahl andere Geräte welche ebenfalls An- Abmeldungen durchführen (z.B. Scanner, Smartphones usw.)?
Erwartete anzahl An- bzw. Abmeldungen im Netz und auf welchen DCs?
Was genau ist zur Protokollierung unnötigerweise eingestellt?
Reichen die Platten wohin die Protokolle Schreiben wenn alles mögliche Protokoliiert werden soll?
Tauchen IPs in den Protokollen auf welche nicht dort erwartet werden bzw. bekannt sind?
Wer hat denn definiert was alles Protokolliert werden soll? Werden ja gründe dafür gewesen sein, oder?
Vielleicht ein Amok laufender PC
Vielleicht eine VDI Farm welche abgerntet wird
Unerwünschte Besucher im Netz
Benutzer die nicht wissen was die tun
Gruß,
Peter
Zitat von @Daywalker75:
Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang
Ohne jetzt alles durchzugehen:Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log Meldungen ? siehe Anhang
Anzahl Clients im Netz?
Anzahl Benutzer im Netz?
Anzahl andere Geräte welche ebenfalls An- Abmeldungen durchführen (z.B. Scanner, Smartphones usw.)?
Erwartete anzahl An- bzw. Abmeldungen im Netz und auf welchen DCs?
Was genau ist zur Protokollierung unnötigerweise eingestellt?
Reichen die Platten wohin die Protokolle Schreiben wenn alles mögliche Protokoliiert werden soll?
Tauchen IPs in den Protokollen auf welche nicht dort erwartet werden bzw. bekannt sind?
Der Kunde stellt mir nun folgende Fragen. Habt Ihr da eine Idee ?
Warum stellt der Kunde dir diese Fragen wo du offensichtlich kein plan von hast? Oder sollst du ein Audit ...?In under 24 hours more than 200,000 log events are generated or more than 130 megabytes of data a day.
Wenns so sein soll ist doch allesa gut - oder hat der Kunde nur einen einzigen PC?Wer hat denn definiert was alles Protokolliert werden soll? Werden ja gründe dafür gewesen sein, oder?
Why are they any Audit policy changes made on file level?
Weil evtl. Prozesse dies verlangen?Vielleicht ein Amok laufender PC
Vielleicht eine VDI Farm welche abgerntet wird
Unerwünschte Besucher im Netz
Benutzer die nicht wissen was die tun
Gruß,
Peter
Mikrotik,
Danke erstmal für die schnelle Antwort. Kannst du mir auch sagen, wie ich das eingrenzen kann ?
Viele Grüße aus Dänemark
Danke erstmal für die schnelle Antwort. Kannst du mir auch sagen, wie ich das eingrenzen kann ?
Viele Grüße aus Dänemark
Hallo,
https://technet.microsoft.com/en-us/library/cc732450(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
https://technet.microsoft.com/en-us/library/cc771070(v=ws.11).aspx
https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/p ...
https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dd277403.aspx
Gruß,
Peter
https://technet.microsoft.com/en-us/library/cc732450(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
https://technet.microsoft.com/en-us/library/cc771070(v=ws.11).aspx
https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/p ...
https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dd277403.aspx
Gruß,
Peter
Vielen Dank für die Antworten.
Tatsächlich waren die Logs auch so gewünscht. Mir schien das alles etwas zu viele Logs. Der Kunde selber war etwas überrascht. Jedoch kam der Richtige Ansprechpartner und zeigte uns die Definition von Audit Policy
.
Also war alles normal.
Nochmals vielen Dank an alle.
Gruß
Daywalker
Tatsächlich waren die Logs auch so gewünscht. Mir schien das alles etwas zu viele Logs. Der Kunde selber war etwas überrascht. Jedoch kam der Richtige Ansprechpartner und zeigte uns die Definition von Audit Policy
.
Also war alles normal.
Nochmals vielen Dank an alle.
Gruß
Daywalker
Hi,
Na dann ist dein Urlaub ja nochmal gerettet
Gruß,
Peter
Na dann ist dein Urlaub ja nochmal gerettet
Gruß,
Peter
So sieht´s aus
