21
Server 2012R2 hat innerhalb von zwei Wochen 219.000 Sicherheitsereignisse generiert ist das normal?
Hallo,
habe vor kurzem mal die logs meines Windows Server 2012 R2 durchgesehen. Dabei ist mir aufgefallen, dass die Sicherheitsereignisse knapp 150MB groß sind.
Später wurde mir dann klar, dass insgesamt 219 000 Ereignisse protokolliert wurden - innerhalb von zwei Wochen. Mehrere Ereignisse in der Sekunde.. (obwohl nicht auf den Server zugegriffen wird)
Das Ganze sieht dann so aus: http://imgur.com/dAGpWLe
Ist das normal?
Grüße
habe vor kurzem mal die logs meines Windows Server 2012 R2 durchgesehen. Dabei ist mir aufgefallen, dass die Sicherheitsereignisse knapp 150MB groß sind.
Später wurde mir dann klar, dass insgesamt 219 000 Ereignisse protokolliert wurden - innerhalb von zwei Wochen. Mehrere Ereignisse in der Sekunde.. (obwohl nicht auf den Server zugegriffen wird)
Das Ganze sieht dann so aus: http://imgur.com/dAGpWLe
Ist das normal?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 286144
Url: https://administrator.de/contentid/286144
Ausgedruckt am: 21.11.2024 um 14:11 Uhr
21 Kommentare
Neuester Kommentar
Hi,
falls das ein DC ist --> normal.
E.
falls das ein DC ist --> normal.
E.
Ja, ist ein Domain-Controller.
Allerdings entstehen ja auch zigtausend logs in Zeiten, in denen gar nicht auf den Server zugegriffen wird. Wie kann das sein?
Allerdings entstehen ja auch zigtausend logs in Zeiten, in denen gar nicht auf den Server zugegriffen wird. Wie kann das sein?
Ist das auch der Grund dafür, dass der Server durchgehend mind. 10% CPU-Auslastung hat?
Beim Win Server 2003 war das nämlich definitiv nicht so..
Beim Win Server 2003 war das nämlich definitiv nicht so..
Es sind übrigens auch viele Ereignisse mit folgendem Inhalt vorhanden:
"
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
"
Das hört sich irgendwie suboptimal an.
"
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
"
Das hört sich irgendwie suboptimal an.
Wie groß ist denn Euer Netz? Wieviel Benutzer & Computer?
zum Vergleich:
Bei uns produziert ein DC mit Standardeinstellungen in 2 h ca. 250.000 Events. Wir haben aber auch ein Netz mit mehr als 10 Domänen, ein paar hundert Server, tausenden Clients und Benutzern.
zum Vergleich:
Bei uns produziert ein DC mit Standardeinstellungen in 2 h ca. 250.000 Events. Wir haben aber auch ein Netz mit mehr als 10 Domänen, ein paar hundert Server, tausenden Clients und Benutzern.
25 Plätze mit allen möglichen Terminal-Anwendungen.
Na dann bin ich ja beruhigt - dachte schon dass das OS irgendwie verseucht wäre.
Frage mich zwar trotzdem wie Events geloggt werden können wenn gar nicht auf den Server zugegriffen wird und wieso die CPU durchgehend mit 10% ausgelastet ist aber das bleibt dann wohl ein Mysterium.
Wie viel Speicher nimmt euer Log nach ca. einem Jahr an Benutzung ein? Muss das manuell gelöscht werden oder passiert das automatisch sobald eine gewisse Grenze überschritten wird?
Na dann bin ich ja beruhigt - dachte schon dass das OS irgendwie verseucht wäre.
Frage mich zwar trotzdem wie Events geloggt werden können wenn gar nicht auf den Server zugegriffen wird und wieso die CPU durchgehend mit 10% ausgelastet ist aber das bleibt dann wohl ein Mysterium.
Wie viel Speicher nimmt euer Log nach ca. einem Jahr an Benutzung ein? Muss das manuell gelöscht werden oder passiert das automatisch sobald eine gewisse Grenze überschritten wird?
Frage mich zwar trotzdem wie Events geloggt werden können wenn gar nicht auf den Server zugegriffen wird und wieso die CPU durchgehend mit 10% ausgelastet ist aber das bleibt dann wohl ein Mysterium.
Auf einem DC wird "permanent" zugegriffen. Je nach dem, welche FSMO's er hat, und wie groß das Netz. Standardmäßig: Jeder An- und Abmeldevorgang, rede Replikation, Zugriff auf Shares und Dienste anderer Server, wenn diese eine Sitzungstoken anfordern usw.Wie viel Speicher nimmt euer Log nach ca. einem Jahr an Benutzung ein? Muss das manuell gelöscht werden oder passiert das automatisch sobald eine gewisse Grenze überschritten wird?
Kann ich Dir nicht sagen, weil wir Umlaufprotokollierung haben, sprich Protokoll wird jedesmal wieder überschrieben. Für uns interessante Events lesen wir aus und schreiben sie in eine DB. 128 MB reichen bei uns ja nach DC ca. 2 h.
Aber wenn jeder Client PC heruntegefahren ist und auch ansonsten keine anderen Server im Netzwerk aktiv sind, frage ich mich wie im Sekundentakt logs entstehen.. Dass auf den Server permanent zugegriffen wird während die Clients aktiv sind, ist verständlich (wobei das in diesem Maß trotzdem fragwürdig ist).
Wie kann man denn diese Umlaufprotokollierung aktivieren?
EDIT: Sagt dir diese Fehlermeldung zufällig was? - die wird nämlich alle paar Minuten/Sekunden geloggt:
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Wie kann man denn diese Umlaufprotokollierung aktivieren?
EDIT: Sagt dir diese Fehlermeldung zufällig was? - die wird nämlich alle paar Minuten/Sekunden geloggt:
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Wie kann man denn diese Umlaufprotokollierung aktivieren?
Ist meines Wissens standardmäßig so eingestellt. ("bei Bedarf überschreiben")EDIT: Sagt dir diese Fehlermeldung zufällig was? - die wird nämlich alle paar Minuten/Sekunden geloggt:
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Nein, nicht spontan. Aber schon mal "Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird." im Web gesucht?Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Hab' ich schon gemacht und auf die schnelle nichts gefunden - ich begebe mich dann nochmal auf die Suche.
Besten Dank für deine Hilfe!
Besten Dank für deine Hilfe!
Hallo zusammen,
ich habe gerade bei einem Kunden das gleiche Problem. Die Logs im Ereignisprotokoll sehen genau so aus, angefangen hat das wohl vor ca. 5 Tagen (es wurde nichts gemacht). Zusätzlich melden die User, dass es Netzwerkunterbrechnungen für ein paar Sekunden gibt.
Server (DC) ist ein 2008R2, Stationen durchgehend Windows 7 Pro
Als Security wird Kaspersky Endpoint Security Advanced eingesetzt.
Für eine schnelle Lösungsinfo wäre ich echt dankbar.
VG
Mike
ich habe gerade bei einem Kunden das gleiche Problem. Die Logs im Ereignisprotokoll sehen genau so aus, angefangen hat das wohl vor ca. 5 Tagen (es wurde nichts gemacht). Zusätzlich melden die User, dass es Netzwerkunterbrechnungen für ein paar Sekunden gibt.
Server (DC) ist ein 2008R2, Stationen durchgehend Windows 7 Pro
Als Security wird Kaspersky Endpoint Security Advanced eingesetzt.
Für eine schnelle Lösungsinfo wäre ich echt dankbar.
VG
Mike
Ich konnte keinen AUslöser finden und habe es jetzt einfach ignoriert
Hmm, schade.
Bei meinen Kunden kommen Netzwerkunterbrechunen (ca. 2-3 Sekunden) dazu. Das macht es ärgerlich..
Aber trotzdem Danke
Bei meinen Kunden kommen Netzwerkunterbrechunen (ca. 2-3 Sekunden) dazu. Das macht es ärgerlich..
Aber trotzdem Danke
Servus,
ich habe seit einigen Tagen die gleichen Events.
Unser CRM System, welches auf den SQL Server zugreift, friert dann immer ein und muss neu gestartet werden. Manchmal dauert das Verhalten eine halbe Stunde an ehe man wieder normal arbeiten kann.
Konnte man bei euch zwischenzeitlich einen Auslöser finden??
VG
Abraham84
ich habe seit einigen Tagen die gleichen Events.
Unser CRM System, welches auf den SQL Server zugreift, friert dann immer ein und muss neu gestartet werden. Manchmal dauert das Verhalten eine halbe Stunde an ehe man wieder normal arbeiten kann.
Konnte man bei euch zwischenzeitlich einen Auslöser finden??
VG
Abraham84
Hi,
Puuh, das ist lange her.
Ich glaube, das war der DNC Dienst bzw. Client auf den PCs.
Aber sicher bin ich nicht, kann ich jetzt gedanklich auch verwechseln.
Serverversion aktuell ?
Grüße miscmike
Puuh, das ist lange her.
Ich glaube, das war der DNC Dienst bzw. Client auf den PCs.
Aber sicher bin ich nicht, kann ich jetzt gedanklich auch verwechseln.
Serverversion aktuell ?
Grüße miscmike
Danke für dein Feedback.
ohje Serverversion....Server 2008 R2
Bin aber gerade "schon" neue Hardware am Einbauen.
Hast du ein Tipp für das neuer Server OS? Kann man Win Server 2022 schon empfehlen?
Grüße
ohje Serverversion....Server 2008 R2
Bin aber gerade "schon" neue Hardware am Einbauen.
Hast du ein Tipp für das neuer Server OS? Kann man Win Server 2022 schon empfehlen?
Grüße
Der Weg für ein inplace-Upgrade von 2008R2 geht schrittweise.
Erstmal auf 2012R2, dann auf 2016, dann auf 2019.
Ich hatte 2022 zwar als Test mal am laufen und war recht engetan davon, habe es aber noch nicht produktiv eingesetzt.
Daher kann ich leider nicht sagen, ob man das empfehlen kann.
Grundsätzlich schon - ich würde aber raten, das vorher zu testen.
Erstmal auf 2012R2, dann auf 2016, dann auf 2019.
Ich hatte 2022 zwar als Test mal am laufen und war recht engetan davon, habe es aber noch nicht produktiv eingesetzt.
Daher kann ich leider nicht sagen, ob man das empfehlen kann.
Grundsätzlich schon - ich würde aber raten, das vorher zu testen.
Danke für die Info
An ein Inplace Upgrade hatte ich noch gar nicht gedacht, wollte eigentlich die 2022er neu aufsetzen und schrittweise die Dienste umziehen.
Vielleicht ist ein Inplace Upgrade ja für den DC eine Option damit es nicht ganz so anstrengend wird…
An ein Inplace Upgrade hatte ich noch gar nicht gedacht, wollte eigentlich die 2022er neu aufsetzen und schrittweise die Dienste umziehen.
Vielleicht ist ein Inplace Upgrade ja für den DC eine Option damit es nicht ganz so anstrengend wird…
Ja, aber darauf achten, dass sysprep gemacht wird ( sysprep /forestprep und sysprep /domainprep).
Wenn nicht, ist es nicht schlimm, da wird man während des Setup angemeckert und hingeführt.
Ich habe das bei mir selbst und einigen Kunden bisher immer erfolgreich durchführen können
Wenn nicht, ist es nicht schlimm, da wird man während des Setup angemeckert und hingeführt.
Ich habe das bei mir selbst und einigen Kunden bisher immer erfolgreich durchführen können
Zitat von @miscmike:
Ja, aber darauf achten, dass sysprep gemacht wird ( sysprep /forestprep und sysprep /domainprep).
Du meinst sicherlich adprep.Ja, aber darauf achten, dass sysprep gemacht wird ( sysprep /forestprep und sysprep /domainprep).
Hach Mist - klar 
