Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheitsprotokoll ständig voll

Mitglied: redline

redline (Level 1) - Jetzt verbinden

19.06.2006, aktualisiert 20.06.2006, 14037 Aufrufe, 3 Kommentare

Das Sicherheitsprotokoll ist an einigen Rechnern Ständig voll und ich bekomme die IDs 576 und 528 angezeigt.

Hi Leute,

ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:

An-/Abmeldung 528 Netzwerkdienst

Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

und der zweite ....

Berechtigung 576 Netzwerkdienst

Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!

greetz

redline
Mitglied: 8894
19.06.2006 um 13:54 Uhr
Die Ereignisse stammen von einer Überwachungsrichtlinie die IMHO in den Gruppenrichtlinien festgelegt wird. Müsstest also dort ansetzen, wenn das Ereignis nicht mehr geloggt werden soll.

Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)

Grüße,
poppulus
Bitte warten ..
Mitglied: redline
20.06.2006 um 07:27 Uhr
Unter eventid.net hab ich ja auch schon nachgesehen, nur das bringt mir ja nicht so viel.
Es geht darum, dass auf einigen Rechner das Protokoll jeden bis alle zwei Tage komplett voll ist und einer von uns Admins hier das leeren muss.

Ich hab zwar eine batch-Datei für solche fälle, sodass es keine Arbeit macht, aber es geht ja darum zu wissen ob das alles so in Ordnung ist!?

Es ist ja nicht auf allen 200 Rechner in unserer Domäne, sondern maximal auf 13.

Deswegen würd ich gern wissen was genau das für ein log ist und was es mir sagt.

DANKE
Bitte warten ..
Mitglied: howie
29.05.2009 um 10:46 Uhr
Hi,

also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?

Gruß Howie
Bitte warten ..
Ähnliche Inhalte
Windows Server

Ständige An- und Abmeldungen im Windows Server 2008 R2 Sicherheitsprotokoll

Frage von CardmaxxWindows Server3 Kommentare

Ich habe ein Problem in einer Domäne. Ausgangssituation: Server 2008R2 ist DC mit DNS und DHCP Server 2012R2 ist ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 5 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore24 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...