derwowusste
10.11.2020, aktualisiert am 11.11.2020
view1469
view2
0
Goto Top

Windows Eventlogs unzuverlässig?

gelöstFrageMicrosoftWindows Server
Moin Kollegen.

Edit - weitere Erkenntnisse brachten mich dazu, den Fragetext zu ändern

Ich arbeite häufig und gern mit von Events getriggerten Tasks - seit Jahren ohne Probleme.
Nach all dieser Zeit sehe ich jetzt zum ersten Mal ein Problem und kann es mir nicht erklären:

Ein Konto im AD wird gesperrt (Kennwortfehleingabe) und das Sperrevent (ID 4740 im Sicherheitseventlog) taucht weder auf dem einen, noch auf dem anderen DC auf.
Somit wird auch der Benachrichtigungstask nicht getriggert.

Frage: wer hat beim Logging schon ähnlich haarsträubende Erfahrungen gemacht, dahingehend, dass Events nicht im Log ankommen?
(hier getestet auf Server 2019 und Server 2016 1607)
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 621101

Url: https://administrator.de/contentid/621101

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
DerWoWusste 11.11.2020 um 15:24:52 Uhr
Goto Top
Ich habe gerade festgestellt, dass die Server loggingtechnisch evtl. überlastet waren (alleine 1 GB Security-Log pro Tag) und habe dies nun weniger scharf eigestellt und werde beobachten, ob es ein Performanceproblem ist.
DerWoWusste
DerWoWusste 17.11.2020 um 15:32:37 Uhr
Goto Top
Die Sache ist wieder im Griff.
Auf den DCs (Server 2016) war noch die klassische Art der Überwachuing aktiv (und nicht die neueren "advanced audit policies").
Logge ich die selben Dinge mit den advanced audit policies, dann ist das Volumen des Geloggten wesentlich kleiner, ich bekomme auch nicht ständig, wie vorher, die verwirrende Meldung "Audit Policy changed" Hunderte von Malpro Stunde und das Problem ist auch nicht mehr reproduzierbar.

Ergo: Eventuell ist das klassische Auditing auf Server 2016/2019 buggy.
gelöstFrageMicrosoftWindows Server
Mehr von DerWoWussteDerWoWussteExcelstart bringt neuerdings FehlerDerWoWusste - 4 KommentareDerWoWussteWindows Server 2025 und Windows 11 24H2 - Remote Credential Guard erneut defektDerWoWusste - 6 KommentareDerWoWussteWin11 23H2 - Pin to start weg, "move to front" stattdessenDerWoWusste - 8 KommentareDerWoWussteAdobe Reader - Revocationcheck von Signaturen misslingtDerWoWusste - 15 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare