howie1 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Hi, wir haben einen SBS 2003 voll gepatcht mit 18 Usern und 15 Clients. Das Sicherheits-Eventlog vom SBS ist 500MB groß und überschreibt Einträge die 14 Tage sobald wir die Logrotation auf 30 Tage einstellen reichen die 500MB nicht mehr. Ehhm... 500MB für ein Logfile werden ihr sagen, aber so isses. Hier wird sekündlich sowas geloggt, selbst nachts, wenn alle user schlafen und die Rechner ausgeschaltet sind. Wo kann man das abschalten? Was muss wirklich geloggt werden? Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 09.06.2009 Zeit: 04:14:28 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SBS Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: SBS$ Domäne: Domäne Anmeldekennung: (0x0,0x1CB55EA4) Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Arbeitsstationsname: Anmelde-GUID: {2f0115d3-3f6d-8d09-5921-9079d8ced3c7} Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.2.4 Quellport: 47529 --- Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 09.06.2009 Zeit: 04:14:28 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SBS Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: SBS$ Domäne: Domäne Anmeldekennung: (0x0,0x1CB55B6A) Berechtigungen: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege Tja, das geht sekündlich so weiter. handelt es sich dabei um eine Fehlkonfiguration von uns, und kann einer einen Tipp geben, wo wir mal nachschauen können? Wir sind uns nicht bewusst, da irgend was komisches eingestellt zu haben... oder ist das normal... Danke für Eure Hilfe Gruß Howie Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Moin, schau mal in der Überwachungsrichtlinie der Domäne bzw. der DCs. Dort wird vermutlich "etwas viel" protokolliert. Eventlogs würde ich übrigens immer auf "Überschreiben bei Bedarf" stellen und nie auf eine feste Löschzeit. Bei Bedarf einen täglichen Task einstellen und die Einträge exportieren. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.