howie1 10 Geschrieben 9. Juni 2009 Melden Geschrieben 9. Juni 2009 Hi, wir haben einen SBS 2003 voll gepatcht mit 18 Usern und 15 Clients. Das Sicherheits-Eventlog vom SBS ist 500MB groß und überschreibt Einträge die 14 Tage sobald wir die Logrotation auf 30 Tage einstellen reichen die 500MB nicht mehr. Ehhm... 500MB für ein Logfile werden ihr sagen, aber so isses. Hier wird sekündlich sowas geloggt, selbst nachts, wenn alle user schlafen und die Rechner ausgeschaltet sind. Wo kann man das abschalten? Was muss wirklich geloggt werden? Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 09.06.2009 Zeit: 04:14:28 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SBS Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: SBS$ Domäne: Domäne Anmeldekennung: (0x0,0x1CB55EA4) Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Arbeitsstationsname: Anmelde-GUID: {2f0115d3-3f6d-8d09-5921-9079d8ced3c7} Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.2.4 Quellport: 47529 --- Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 09.06.2009 Zeit: 04:14:28 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SBS Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: SBS$ Domäne: Domäne Anmeldekennung: (0x0,0x1CB55B6A) Berechtigungen: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege Tja, das geht sekündlich so weiter. handelt es sich dabei um eine Fehlkonfiguration von uns, und kann einer einen Tipp geben, wo wir mal nachschauen können? Wir sind uns nicht bewusst, da irgend was komisches eingestellt zu haben... oder ist das normal... Danke für Eure Hilfe Gruß Howie
NilsK 3.046 Geschrieben 9. Juni 2009 Melden Geschrieben 9. Juni 2009 Moin, schau mal in der Überwachungsrichtlinie der Domäne bzw. der DCs. Dort wird vermutlich "etwas viel" protokolliert. Eventlogs würde ich übrigens immer auf "Überschreiben bei Bedarf" stellen und nie auf eine feste Löschzeit. Bei Bedarf einen täglichen Task einstellen und die Einträge exportieren. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden