XP - Eventlog (Sicherheit) läuft voll - was tun?
Hallo Leute,
bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.
Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:
Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff
Beschreibung:
Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen
Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.
Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.
Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..
Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert
Gruss
Martin
bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.
Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:
Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff
Beschreibung:
Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen
Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.
Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.
Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..
Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert
Gruss
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107798
Url: https://administrator.de/forum/xp-eventlog-sicherheit-laeuft-voll-was-tun-107798.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
6 Kommentare
Neuester Kommentar
Wie wäre es, das Eventlog auf eine sinnvolle Größe zu beschränken, wie es jeder andere (gute) Admin auch macht...?
Lonesome Walker
Lonesome Walker
Zitat von @mad999:
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......
Wer hat was von heraufsetzen geschrieben?
<ironie>
Was man NORMALERWEISE macht, mußt Du mir nicht schreiben, weil NORMALERWEISE weiß ein Admin auch, wie man bei sowas vorgeht, und schreibt nicht so Kinderkram-Fragen in ein Forum.
</ironie>
Wenn Du das Problem schon eingegrenzt hast, solltest Du es vielleicht mal mit einer Deinstallation probieren...?
Lonesome Walker
Hallo MAD!
So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!
Kontrolliere folgendes:
In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!
Gruß!
Tonio
So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!
Kontrolliere folgendes:
In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!
Gruß!
Tonio