redline
Goto Top

Sicherheitsprotokoll ständig voll

Das Sicherheitsprotokoll ist an einigen Rechnern Ständig voll und ich bekomme die IDs 576 und 528 angezeigt.

Hi Leute,

ich habe auf einigen Rechner (alle 99% Baugleich) ständig die Sicherheitsprotokolle voll und muss Sie entsprechend leeren.
Entscheidend sind zwei Ereignisse in den betroffenen Ereignisprotokollen:

An-/Abmeldung 528 Netzwerkdienst

Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

und der zweite ....

Berechtigung 576 Netzwerkdienst

Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ich hoffe ihr könnt mir hier weiterhelfen, denn ich kann da nicht so viel mit anfangen?!

greetz

redline

Content-ID: 34431

Url: https://administrator.de/forum/sicherheitsprotokoll-staendig-voll-34431.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

8894
8894 19.06.2006 um 13:54:27 Uhr
Goto Top
Die Ereignisse stammen von einer Überwachungsrichtlinie die IMHO in den Gruppenrichtlinien festgelegt wird. Müsstest also dort ansetzen, wenn das Ereignis nicht mehr geloggt werden soll.

Weitere Infos zu den Ereignissen selber findest Du bei eventid.net oder evtcatalog.com (einfach nach der Ereignisnummer suchen, also 528 und 576)

Grüße,
poppulus
redline
redline 20.06.2006 um 07:27:15 Uhr
Goto Top
Unter eventid.net hab ich ja auch schon nachgesehen, nur das bringt mir ja nicht so viel.
Es geht darum, dass auf einigen Rechner das Protokoll jeden bis alle zwei Tage komplett voll ist und einer von uns Admins hier das leeren muss.

Ich hab zwar eine batch-Datei für solche fälle, sodass es keine Arbeit macht, aber es geht ja darum zu wissen ob das alles so in Ordnung ist!?

Es ist ja nicht auf allen 200 Rechner in unserer Domäne, sondern maximal auf 13.

Deswegen würd ich gern wissen was genau das für ein log ist und was es mir sagt.

DANKE
howie
howie 29.05.2009 um 10:46:47 Uhr
Goto Top
Hi,

also wir haben versucht die domänenweiten Einstellungen für die Sicherheitseinstellungen per GPO unter Server-Clientcomputer -> Computerconfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Ereignisprotokoll vorgenommen. Wenn man sich dann allerdings am Client als Admin an der Domäne anmeldet wurden die Einstellungen nicht übernommen. Muss die Einstellung irgendwo anders vorgenommen werden?

Gruß Howie