SBS 2003 - Sicherheitsprotokoll ist 500MB und voll
Hi,
wir haben einen SBS 2003 voll gepatcht mit 18 Usern und 15 Clients.
Das Sicherheits-Eventlog vom SBS ist 500MB groß und überschreibt Einträge die 14 Tage sobald wir die Logrotation auf 30 Tage einstellen reichen die 500MB nicht mehr. Ehhm... 500MB für ein Logfile werden ihr sagen, aber so isses.
Hier wird sekündlich sowas geloggt, selbst nachts, wenn alle user schlafen und die Rechner ausgeschaltet sind. Wo kann man das abschalten? Was muss wirklich geloggt werden?
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 09.06.2009
Zeit: 04:14:28
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SBS
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SBS$
Domäne: Domäne
Anmeldekennung: (0x0,0x1CB55EA4)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {2f0115d3-3f6d-8d09-5921-9079d8ced3c7}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.2.4
Quellport: 47529
---
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 09.06.2009
Zeit: 04:14:28
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SBS
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SBS$
Domäne: Domäne
Anmeldekennung: (0x0,0x1CB55B6A)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Tja, das geht sekündlich so weiter. handelt es sich dabei um eine Fehlkonfiguration von uns, und kann einer einen Tipp geben, wo wir mal nachschauen können? Wir sind uns nicht bewusst, da irgend was komisches eingestellt zu haben... oder ist das normal...
Danke für Eure Hilfe
Gruß Howie
wir haben einen SBS 2003 voll gepatcht mit 18 Usern und 15 Clients.
Das Sicherheits-Eventlog vom SBS ist 500MB groß und überschreibt Einträge die 14 Tage sobald wir die Logrotation auf 30 Tage einstellen reichen die 500MB nicht mehr. Ehhm... 500MB für ein Logfile werden ihr sagen, aber so isses.
Hier wird sekündlich sowas geloggt, selbst nachts, wenn alle user schlafen und die Rechner ausgeschaltet sind. Wo kann man das abschalten? Was muss wirklich geloggt werden?
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 09.06.2009
Zeit: 04:14:28
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SBS
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SBS$
Domäne: Domäne
Anmeldekennung: (0x0,0x1CB55EA4)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {2f0115d3-3f6d-8d09-5921-9079d8ced3c7}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.2.4
Quellport: 47529
---
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 09.06.2009
Zeit: 04:14:28
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SBS
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SBS$
Domäne: Domäne
Anmeldekennung: (0x0,0x1CB55B6A)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Tja, das geht sekündlich so weiter. handelt es sich dabei um eine Fehlkonfiguration von uns, und kann einer einen Tipp geben, wo wir mal nachschauen können? Wir sind uns nicht bewusst, da irgend was komisches eingestellt zu haben... oder ist das normal...
Danke für Eure Hilfe
Gruß Howie
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117817
Url: https://administrator.de/forum/sbs-2003-sicherheitsprotokoll-ist-500mb-und-voll-117817.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
die Erklärung findest du hier:
http://support.microsoft.com/kb/264769/en-us
http://support.microsoft.com/kb/822774/en-us
mfg
Harald
die Erklärung findest du hier:
http://support.microsoft.com/kb/264769/en-us
http://support.microsoft.com/kb/822774/en-us
mfg
Harald