deb10er0
Goto Top

Sicherheitsprotokoll voll

Hallo,
wir verwalten zwei Netzwerk (getrennt, zwei Firmen) mit jeweils eignener Netzwerkdomäne.

Jetzt tritt bei mir mir schon zum zweiten mal (innerhalb 3 Wochen) das Problem auf (in jedem Netzwerk 1x) das ein Client (Windows 11) sich nicht mit seinem Netzwerkbenutzer anmelden kann. Es kommt direkt eine Meldung, dass das Sicherheitsprotokoll voll ist. Lösen kann ich das nur, wenn ich mich mit einem Admin anmelde und in der Ereignisanzeige => Windows-Protokolle => Sicherheit alles lösche. Danach kann sich der Benutzer wieder anmelden. Nach 2-3 Tagen kommt das Problem aber wieder.

Bei Sicherheit sind eigentlich die meisten Einträge "Überwachung gescheitert". Die Prozess-ID und der Prozessname ist immer wieder ein anderer. Also nichts auffälliges.

Ich habe auch schon die Protokollgröße hochgeschraubt... bringt aber leider auch nichts.

Ist da irgendein Problem bekannt? Kann man das irgendwie lösen?

Content-ID: 4406375227

Url: https://administrator.de/contentid/4406375227

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

Penny.Cilin
Penny.Cilin 26.10.2022 um 11:59:28 Uhr
Goto Top
Hallo,

einfach die Einstellungen der Logdatei ändern.
Maximale Protokollgröße angeben, und Ereignisse bei Bedarf überschreiben auswählen.

bild_2022-10-26_115904207

Gruss Penny.
deb10er0
deb10er0 26.10.2022 um 12:01:45 Uhr
Goto Top
Danke... aber genau das habe ich schon gemacht. Ich habe die Protokollgröße auf den höchsten Wert gesetzt. Problem tritt aber wieder auf.

"Überschreiben" habe ich auch angeklickt.

Es handelt sich bei meinen beiden Geräten, wo es aufgetreten ist, um zwei relativ neue Notebooks. Aber von unterschiedlichen Herstellern.
DanielB80
DanielB80 28.10.2022 um 08:22:47 Uhr
Goto Top
Ich hätte spontan versucht, die Protokollgröße RUNTER zu schrauben...
theoretisch löscht Windows ja bei Erreichen der Grenze selbständig.

Schuss ins Blaue: könnte es an Win 11 liegen?
deb10er0
deb10er0 28.10.2022 um 08:58:30 Uhr
Goto Top
Keine Ahnung... komisch ist halt wirklich, dass es in kürzester Zeit schon das zweite mal passiert ist. Zwei verschiedene Geräte, zwei verschiedene Netzwerke.

Runter schrauben kann ich mal versuchen.
deb10er0
deb10er0 28.10.2022 um 11:30:13 Uhr
Goto Top
Ok... hat alles nix gebracht. Bastel nun an einem Auto-Task bei PC Start. Vielleicht geht es hiermit.

Evtl. gibt es ein Problem mit der aktuellesten Win11 Version. Die haben beide Notebooks installiert.
Niggoo
Niggoo 01.12.2022 um 11:26:48 Uhr
Goto Top
Hi,

ich habe genau das gleiche Problem bei mir.
ca 5 User bei denen das Sicherheitsprotokoll volläuft. Ich habe mir das Log mal angeschaut und innerhalb weniger Minuten werden einige Ereignisse protokolliert. Alle mit der ID 4663.
Da sich aber auch die Einstellung des Automatischen löschnes immer wieder selber ändern, vermute ich, dass es eine Gruppenrichtlinie auf den Rechnern sein könnte.
Genaueres habe ich leider (noch) nicht.

Gruß
deb10er0
deb10er0 01.12.2022 um 12:09:54 Uhr
Goto Top
Also wir konnten es nun lösen face-wink.

Eine uralte GPO (ca. 15 Jahre alt) war Schuld. Fragt mich nicht warum, aber mein Vor- Vorgänger hatte per GPO das Überschreiben nicht aktiviert. Darum lief das Protokoll voll.

Warum aber dieses Problem bei uns besteht weiß ich auch nicht. Da sind wir noch dran.

Bei Sicherheit sind eigentlich die meisten Einträge "Überwachung gescheitert". Die Prozess-ID und der Prozessname ist immer wieder ein anderer. Also nichts auffälliges.  


Ich habe den Verdacht, dass es an unserer alten Domäne liegt (Schema wurde immer wieder upgedatet). Wahrscheinlich sind da einige alte kaputte Einträge.
Niggoo
Niggoo 01.12.2022 um 13:03:20 Uhr
Goto Top
weisst du noch wie die GPO hiess? Dann könnte ich da mal ansetzen.

Vorab vielen Dank.

lieben Gruß
deb10er0
deb10er0 01.12.2022 um 13:46:21 Uhr
Goto Top
Also die GPO hat nix mit dem Fehler an sich in der Ereignisanzeige zu tun. Wichtig ist nur das bei den Clients der oberste Punkt angehackt ist (siehe den zweiten Post hier im Thread mit dem Screenshot von Penny.Cilin).

Hier im Bild sind die Einstellungen der GPO welche falsch waren bzw. einfach nur schlecht. Wir haben die einfach nur deaktiviert und nun läuft alles auf Standard. Müsste alles auf "nicht definiert" stehen. Mach nach den Einstellungen auch mal noch einen "gpupdate /force" zur Sicherheit.

1
Niggoo
Niggoo 13.12.2022 um 14:41:21 Uhr
Goto Top
Hi,

ich habe mal bei mir und ein paar anderen Geräten und auch in Untergruppen geschaut, jedoch habe ich diese GPO nicht. (siehe Bild)

Muss/kann ich die enstrpechende Richtlinie dafür erst erstellen?
Wie kann es denn sein, dass sich ohne eine solche Option die Einstellung jedes Mal erneut umstellen?

Gruß
Niggoo
222222222222222222222222222222222
deb10er0
deb10er0 14.12.2022 um 08:34:17 Uhr
Goto Top
Hm... sehe jetzt nicht alles, aber bist du unter Computerkonfiguration?
Niggoo
Niggoo 14.12.2022 um 09:15:16 Uhr
Goto Top
Ja, ich habe in jede "Kategorie" reingeschaut, ob ich sie woanders finde, aber dem war nicht so.
Ich bin da aktuell etwas überfragt face-smile