3
Sicherheitsprotokoll ständig voll
Das Sicherheitsprotokoll ist an einigen Rechnern Ständig voll und ich bekomme die IDs 576 und 528 angezeigt.
Hi Leute,
ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:
An-/Abmeldung 528 Netzwerkdienst
Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und der zweite ....
Berechtigung 576 Netzwerkdienst
Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!
greetz
redline
Hi Leute,
ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:
An-/Abmeldung 528 Netzwerkdienst
Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und der zweite ....
Berechtigung 576 Netzwerkdienst
Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!
greetz
redline
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34431
Url: https://administrator.de/contentid/34431
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
3 Kommentare
Neuester Kommentar
Die Ereignisse stammen von einer Überwachungsrichtlinie die IMHO in den Gruppenrichtlinien festgelegt wird. Müsstest also dort ansetzen, wenn das Ereignis nicht mehr geloggt werden soll.
Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)
Grüße,
poppulus
Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)
Grüße,
poppulus
Unter eventid.net hab ich ja auch schon nachgesehen, nur das bringt mir ja nicht so viel.
Es geht darum, dass auf einigen Rechner das Protokoll jeden bis alle zwei Tage komplett voll ist und einer von uns Admins hier das leeren muss.
Ich hab zwar eine batch-Datei für solche fälle, sodass es keine Arbeit macht, aber es geht ja darum zu wissen ob das alles so in Ordnung ist!?
Es ist ja nicht auf allen 200 Rechner in unserer Domäne, sondern maximal auf 13.
Deswegen würd ich gern wissen was genau das für ein log ist und was es mir sagt.
DANKE
Es geht darum, dass auf einigen Rechner das Protokoll jeden bis alle zwei Tage komplett voll ist und einer von uns Admins hier das leeren muss.
Ich hab zwar eine batch-Datei für solche fälle, sodass es keine Arbeit macht, aber es geht ja darum zu wissen ob das alles so in Ordnung ist!?
Es ist ja nicht auf allen 200 Rechner in unserer Domäne, sondern maximal auf 13.
Deswegen würd ich gern wissen was genau das für ein log ist und was es mir sagt.
DANKE
Hi,
also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?
Gruß Howie
also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?
Gruß Howie
