Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   Журнал безопасности переполнен (http://forum.oszone.net/showthread.php?t=89768)

Apock 06-09-2007 09:24 639003
Журнал безопасности переполнен
 
Стоит WinXP Pro SP2 на машине, входящей в домен. При загрузке в окне входа в систему над полями для ввода логина и пароля появилась надпись "Журнал безопасности для данной системы переполнен. Вход разрешён только администраторам". И вроде бы как всё работает(благо права админа имеются), но уж очень раздражает то, что есть какая-то проблема, а я не знаю что с ней делать.
Вот и интересно, какой журнал безопасности имеется ввиду? Локальный или на контроллере домена? И как эту проблему можно решить? Я уже отчистил все записи в Администрирование->Просмотр событий, но никакого эффекта это не дало.

Blast 06-09-2007 10:08 639026
Apock, но в журналах должны быть множественные ошибки или предупреждения, скорее всего одинаковые, они и переполняют журнал. Очистка журналов - это борьба со следствием, а нужно устранить причину.

Blast 06-09-2007 10:27 639040
Insomnia, вам не помешалобы дочитывать сообщения до конца
Цитата:
Цитата Apock
Я уже отчистил все записи »

Petya V4sechkin 06-09-2007 13:39 639171
Apock, в просмотре событий на разделах Приложение, Безопасность, Система ткните правой кнопкой мыши и посмотрите Свойства (какой максимальный размер журнала, действие по достижении максимального размера).

Доменные политики тоже можете проверить, Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Журнал событий.

Apock 10-09-2007 09:39 640740
Petya V4sechkin, залез я в эти свойства и там увидел следующее:
Максимальный размер журнала 512 Кб (оставил без изменений)
По достижении максимального размера затирать события старее 7 дней (изменил на "затирать по необходимости").
Так ничего и не понял, но проблема исчезла. Выходит что журнал забивается менее чем за неделю, раз не успевает его очищать.
Но в любом случае ошибки больше нет, поэтому считаю проблему решённой.

Petya V4sechkin 10-09-2007 09:49 640746
Apock, любопытно, что же его так забивает.
В принципе, некоторые события бывают довольно "объемные" (по размеру), например от источника DrWatson.

Apock 11-09-2007 09:36 641317
Тут вот какая ерунда в журнале безопасности:
Тип: Аудит успехов
Исчточник: Security
Категория: Доступ к объектам
И вот такое вот сообщение там появляется раз 10-15 в секунду, поочередно меняя только код события с 560 на 562 и обратно. Попробую разобраться.

Petya V4sechkin 11-09-2007 10:04 641338
Apock, Пуск -> Выполнить -> secpol.msc -> Локальные политики -> Политика аудита.
Нужен ли вам аудит?

Apock 03-10-2007 09:10 653387
По журналу безопасности видно, что он забивается в основном сообщениями Аудит успеха на доступ к объектам. В локальной политике есть две галочки на протоколирование успеха и отказа. Получается просто, что нужно отключить запись успехов. Но проблема такая. Компьютер входит в домен, у меня права администратора. Обе эти галочки недоступны и снять их не получается. Попросил администратора домена, чтоб он попробовал под своим логином - та же ерунда. Какие права нужны, чтоб сделать эти изменения? Или это в самой системе что-то закрыто?

Petya V4sechkin 03-10-2007 12:14 653530
Цитата:
Цитата Apock
Попросил администратора домена, чтоб он попробовал под своим логином - та же ерунда.
Дык, доменные политики пусть смотрит.


Время: 00:09.

Время: 00:09.
© OSzone.net 2001-