8
SBS 2008 - Sicherheitsprotokoll läuft Amok
Hallo,
und keine#ahnung, was ich wieder angestellt habe.
Umfeld: SBS2008, WSUS und Sharepoint laufen, Server-Firewall ist aus, Trendmicro Worryfree als Scanner. Acronis BR 11 SBS mit Exchange-Modul.
Seit ein paar Tagen (?) läuft die Protokolldatei Sicherheit Amok, hpts. Ereignis-ID 4624, 4634 und 4672. Protokollierte events: über 200.000 pro Tag.
Der Server ist scheinbar nicht beeinträchtigt, relevante events aus Anwendungen oder System erhalte ich nicht.
Rein aus dem Bauch heraus würde ich dagen, das zeitlich eine Korrelation zwischen der Protokollwut und der NAchinstallation der Exchange-Sicherung von Acronis vorhanden sein könnte, sicher bin ich aber nicht.
Das Thema gab es hier schon als Fragestellung, ist aber nicht beantwortet worden.
Meine Frage: wie kann ich die in den logs ausgegebenen "Anmelde-ID's" Diensten oder Prozessen zuordnen, um die Quelle einzukreisen?
Herzlichen Dank und LG, Thomas
und keine#ahnung, was ich wieder angestellt habe.
Umfeld: SBS2008, WSUS und Sharepoint laufen, Server-Firewall ist aus, Trendmicro Worryfree als Scanner. Acronis BR 11 SBS mit Exchange-Modul.
Seit ein paar Tagen (?) läuft die Protokolldatei Sicherheit Amok, hpts. Ereignis-ID 4624, 4634 und 4672. Protokollierte events: über 200.000 pro Tag.
Der Server ist scheinbar nicht beeinträchtigt, relevante events aus Anwendungen oder System erhalte ich nicht.
Rein aus dem Bauch heraus würde ich dagen, das zeitlich eine Korrelation zwischen der Protokollwut und der NAchinstallation der Exchange-Sicherung von Acronis vorhanden sein könnte, sicher bin ich aber nicht.
Das Thema gab es hier schon als Fragestellung, ist aber nicht beantwortet worden.
Meine Frage: wie kann ich die in den logs ausgegebenen "Anmelde-ID's" Diensten oder Prozessen zuordnen, um die Quelle einzukreisen?
Herzlichen Dank und LG, Thomas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178653
Url: https://administrator.de/forum/sbs-2008-sicherheitsprotokoll-laeuft-amok-178653.html
Ausgedruckt am: 01.04.2025 um 21:04 Uhr
8 Kommentare
Neuester Kommentar
Ohne einen Screenshot so einer Fehlermeldung wird das schwer. Normalerweise steht in dieser Meldung auch der Prozess der sie verursacht hat beispiel:
Prozessinformationen:
Prozess-ID: 0x9dc
Prozessname: C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE
LG
Prozessinformationen:
Prozess-ID: 0x9dc
Prozessname: C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE
LG
Hi,
danke für die schnelle Reaktion. Wie stelle ich hier die bitmaps ein? Wenn ich die auf meinen webspace veröffentlichen muss, geht das erst heute nachmittag (ich bin zu Hause und warte auf den Ablesedienst
)
Vorab: 4624 verweist tatsächlich auf die Management-Konsole von Acronis, die beiden weiteren ID's haben keinen Verweis auf den Prozess, da habe ich tatsächliche nur die Anmelde-ID-
LG, Thomas
danke für die schnelle Reaktion. Wie stelle ich hier die bitmaps ein? Wenn ich die auf meinen webspace veröffentlichen muss, geht das erst heute nachmittag (ich bin zu Hause und warte auf den Ablesedienst
)Vorab: 4624 verweist tatsächlich auf die Management-Konsole von Acronis, die beiden weiteren ID's haben keinen Verweis auf den Prozess, da habe ich tatsächliche nur die Anmelde-ID-
LG, Thomas
Naja wenn schon 4624 auf Acronis zeigt werden die anderen Meldungen zu 99,9% auch von Acronis sein.
Du kannst ja mal den Dienst auf Manuell stellen und den Server neu starten dann siehst du ja sofort ob das Problem noch besteht.
LG
Du kannst ja mal den Dienst auf Manuell stellen und den Server neu starten dann siehst du ja sofort ob das Problem noch besteht.
LG
Wenn ich wieder in der Praxis bin werde ich zunächst und wieder einmal mit Acronis telefonieren ... Seit dem upgrade uf die 11'er Version hustet der Rödel an mehreren Ecken 
Sollte ich das aus der Acronis-Ecke heraus geändert kriegen, post ich noch einmal und schliesse den thread.
Danke erstmal und LG, Thomas
Sollte ich das aus der Acronis-Ecke heraus geändert kriegen, post ich noch einmal und schliesse den thread.
Danke erstmal und LG, Thomas
Du kannst dir ja auch mal eine Testversion von Symantec Backup Exec System Recovery anschauen .
Kann das selbe und ich hatte noch nie Probleme.
LG
Kann das selbe und ich hatte noch nie Probleme.
LG
So, erstmal wieder zurück ....
Ich habe jetzt vor Ort die Protokolle noch mal durchgesehen, zumindest die ersten 134789 ID 4624 ... dies betrifft nicht nur Acronis (war der erste Zufallsfund), sondern hauptsächlich Kerberos. Der Dienst ist allerdings gestartet. Zwischenzeitlich scheinen sich auch noch irgendwelche Freunde aus Schweden aus Langeweile an meiner firewall abzuarbeiten ... kommt halt alles auf einmal.
Ich werde jetzt mal das Ende des Tages abwarten und die Truhe dann mal neu starten, eventuell klärt es sich dann.
Acronis nutze ich jetzt seit release 9.1 - das lief eigentlich immer sauber, auch die 10 war völlig unauffällig. Mit Version 11 scheint es (noch?) erhebliche Schwierigkeiten zu geben. Mal sehen, ob sich da was bewegt.
LG, Thomas
Ich habe jetzt vor Ort die Protokolle noch mal durchgesehen, zumindest die ersten 134789 ID 4624 ... dies betrifft nicht nur Acronis (war der erste Zufallsfund), sondern hauptsächlich Kerberos. Der Dienst ist allerdings gestartet. Zwischenzeitlich scheinen sich auch noch irgendwelche Freunde aus Schweden aus Langeweile an meiner firewall abzuarbeiten ... kommt halt alles auf einmal.
Ich werde jetzt mal das Ende des Tages abwarten und die Truhe dann mal neu starten, eventuell klärt es sich dann.
Acronis nutze ich jetzt seit release 9.1 - das lief eigentlich immer sauber, auch die 10 war völlig unauffällig. Mit Version 11 scheint es (noch?) erhebliche Schwierigkeiten zu geben. Mal sehen, ob sich da was bewegt.
LG, Thomas
Na dann wünsch ich dir mal das beste wird schon werden.
LG
LG
Danke. Gott ist gross. Ich fürchte nur, Bill ist noch etwas grösser
LG zurück und Danke
LG zurück und Danke
