Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Event Viewer - ветка Security - слишком много записей (http://forum.oszone.net/showthread.php?t=160469)

dodger 16-12-2009 11:57 1296567
Event Viewer - ветка Security - слишком много записей
 
Всем привет.

В логе Security на сервере (Win2003) каждую секунду появляется по несколько записей Success Audit. Т.е. буквально за минуту набирается порядка 20000 - 30000 записей. От чего это может быть? Может ли это быть связано с тем, что людей постоянно то выкидывает, то впускает? Это может быть как-то связано с проблемами DNS?

Ivan Bardeen 16-12-2009 11:59 1296573
Параметры аудита в политике какие настроены? (посмотреть можно выполнив команду rsop.msc)

monkkey 16-12-2009 12:06 1296580
Наверняка - изменение файлов )
dodger,
А коды событий и их описание слабо посмотреть?

dodger 16-12-2009 13:06 1296628
Коды говорят обратное - это вход и выход пользователя, изменение привилегий: 538, 540, 576. Вот такие коды там фигурируют.

Ivan Bardeen 16-12-2009 13:13 1296638
Цитата:
Цитата dodger
изменение привилегий »
Поробуйте отключить аудит использования привелегий

dodger 16-12-2009 13:26 1296649
Audit Privilege use = No auditing
Он отключен по умолчанию. Видимо дело в другом.

Да, только сейчас обратил внимание. От обычных пользователей записей мало, главный мусорщик - это SYSTEM.

monkkey 17-12-2009 09:04 1297365
Просмотрите процессы, запущенные от SYSTEM - нет ли чего подозрительного. Что из "необычных" программ на сервере установлено?
Гляньте http://www.eventid.net/display.asp?e...curity&phase=1, приведите полные тексты сообщений с этими кодами от SYSTEM. Допустим, у меня на прокси-сервере похожая картина, когда у пользователя, например, нет прав на выход в Интернет, а шлюз по умолчанию именно этот, или он пытается запустить броузер и получает запрет.
Logon Failure:
Reason: Unknown user name or bad password
User Name: olga
Domain: PC001
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: PC001

dodger 17-12-2009 10:44 1297452
Event id: 540
Код:
Successful Network Logon:
        User Name:        LKI-AD$
        Domain:                LENKOR
        Logon ID:                (0x0,0x1A9CBFE4)
        Logon Type:        3
        Logon Process:        Kerberos
        Authentication Package:        Kerberos
        Workstation Name:       
        Logon GUID:        {004c14fc-8c0d-fab9-f8dc-493a31d7a543}
        Caller User Name:        -
        Caller Domain:        -
        Caller Logon ID:        -
        Caller Process ID: -
        Transited Services: -
        Source Network Address:        192.168.0.2
        Source Port:        4661
Event id: 538
Код:
User Logoff:
        User Name:        LKI-AD$
        Domain:                LENKOR
        Logon ID:                (0x0,0x1A9CBFE4)
        Logon Type:        3
Event id: 576
Код:
Special privileges assigned to new logon:
        User Name:        LKI-AD$
        Domain:                LENKOR
        Logon ID:                (0x0,0x1A9CC0AB)
        Privileges:        SeSecurityPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeTakeOwnershipPrivilege
                        SeDebugPrivilege
                        SeSystemEnvironmentPrivilege
                        SeLoadDriverPrivilege
                        SeImpersonatePrivilege
                        SeEnableDelegationPrivilege

Ivan Bardeen 17-12-2009 10:56 1297462
Список установленного ПО на сервере огласите

dodger 17-12-2009 14:16 1297662
Symantec Antivirus
Friendly Pinger
DameWare
NormaCS
Adobe Reader


Время: 13:35.

Время: 13:35.
© OSzone.net 2001-