derwowusste
Goto Top

Windows Eventlogs unzuverlässig?

Moin Kollegen.

Edit - weitere Erkenntnisse brachten mich dazu, den Fragetext zu ändern

Ich arbeite häufig und gern mit von Events getriggerten Tasks - seit Jahren ohne Probleme.
Nach all dieser Zeit sehe ich jetzt zum ersten Mal ein Problem und kann es mir nicht erklären:

Ein Konto im AD wird gesperrt (Kennwortfehleingabe) und das Sperrevent (ID 4740 im Sicherheitseventlog) taucht weder auf dem einen, noch auf dem anderen DC auf.
Somit wird auch der Benachrichtigungstask nicht getriggert.

Frage: wer hat beim Logging schon ähnlich haarsträubende Erfahrungen gemacht, dahingehend, dass Events nicht im Log ankommen?
(hier getestet auf Server 2019 und Server 2016 1607)

Content-ID: 621101

Url: https://administrator.de/forum/windows-eventlogs-unzuverlaessig-621101.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

DerWoWusste
DerWoWusste 11.11.2020 um 15:24:52 Uhr
Goto Top
Ich habe gerade festgestellt, dass die Server loggingtechnisch evtl. überlastet waren (alleine 1 GB Security-Log pro Tag) und habe dies nun weniger scharf eigestellt und werde beobachten, ob es ein Performanceproblem ist.
DerWoWusste
DerWoWusste 17.11.2020 um 15:32:37 Uhr
Goto Top
Die Sache ist wieder im Griff.
Auf den DCs (Server 2016) war noch die klassische Art der Überwachuing aktiv (und nicht die neueren "advanced audit policies").
Logge ich die selben Dinge mit den advanced audit policies, dann ist das Volumen des Geloggten wesentlich kleiner, ich bekomme auch nicht ständig, wie vorher, die verwirrende Meldung "Audit Policy changed" Hunderte von Malpro Stunde und das Problem ist auch nicht mehr reproduzierbar.

Ergo: Eventuell ist das klassische Auditing auf Server 2016/2019 buggy.