Sicherheitsprotokoll ständig voll
Das Sicherheitsprotokoll ist an einigen Rechnern Ständig voll und ich bekomme die IDs 576 und 528 angezeigt.
Hi Leute,
ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:
An-/Abmeldung 528 Netzwerkdienst
Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und der zweite ....
Berechtigung 576 Netzwerkdienst
Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!
greetz
redline
Hi Leute,
ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:
An-/Abmeldung 528 Netzwerkdienst
Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und der zweite ....
Berechtigung 576 Netzwerkdienst
Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!
greetz
redline
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34431
Url: https://administrator.de/forum/sicherheitsprotokoll-staendig-voll-34431.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
3 Kommentare
Neuester Kommentar
Die Ereignisse stammen von einer Überwachungsrichtlinie die IMHO in den Gruppenrichtlinien festgelegt wird. Müsstest also dort ansetzen, wenn das Ereignis nicht mehr geloggt werden soll.
Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)
Grüße,
poppulus
Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)
Grüße,
poppulus
Hi,
also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?
Gruß Howie
also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?
Gruß Howie