-MaxXx- 10 Geschrieben 28. Mai 2004 Melden Teilen Geschrieben 28. Mai 2004 Hallo Ich habe folgendes Problem: Wir haben einen SBS und ich habe jetzt versucht in der Sicherheitsrichtlinie das Ereignisprotokoll in der Größe einzuschränken, weil zuviel mitprotokolliert wird. Ich habe pro sec. ca. 3-6 Einträge. In der Richtlinie vom DC habe ich nur noch angegeben, das nur noch die Fehlversuche mitprotokolliert werden. Wenn ich aber das Sicherheitsprotokoll sehe, das steigt innerhalb von 2 Tagen auf Rund 7 MB an, obwohl ich es lt. Richtlinie auf 5 MB max. ausgelegt habe und nur noch eigentlich die Fehlversuche aufzeichnen sollte ?! ........ :rolleyes: Wie bzw. Was muss ich tun, damit nicht alles mitprotokolliert wird ? Oder ist das nicht sinnvoll, nur die Fehlgeschlagenen Sachen zu protokollieren ? Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 28. Mai 2004 Melden Teilen Geschrieben 28. Mai 2004 Hallo, die Protokollgröße ist AFAIK eine UND-Verknüpfung mit den darunterliegenden Optionen (in den Eigenschaften des Protokolls). Für dich hieße das, "Ereignisse nach Bedarf überschreiben" anzukreuzen, sonst wartet der Dienst mit dem Überschreiben, bis z. B. 7 Tage vorüber sind. Der Filter, den du eingerichtet hast, bezieht sich nur auf die Anzeige, nicht die Protokollierung. Grüße Olaf Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Mai 2004 Melden Teilen Geschrieben 28. Mai 2004 Nein, ich habe das so verstanden, dass er nicht den Anzeige-Filter gesetzt hat, sondern in den Überwachungsrichtlinien, nur noch Fehlversuche zu protokollieren. In dem Fall sollten auch nur noch diese protokolliert werden. Wenn die Richtlinie ordnungsgemäß eingerichtet ist, sollte dies auch so sein. Hast du nach Einstellen der max. Größe das Log auch gelöscht? Eigentlich hält sich der Dienst dann auch an die vorgegebene Größe, aber wie Olaf schon sagte, man sollte dann überlegen, wie man bei Erreichen der Größe das weitere Verhalten einstellt. Aber mal abgesehen davon: 7 MB Log-Größe, what shell's. Meine Logs stehen auf 140 MB, weil Plattenplatz auf den heutigen Server im MB-Bereich spielt doch wirklich keine Rolle mehr. Meist hat man auf den Systempartitionen, ob der großen Platten, die die Hersteller ja heute nur noch liefern, Platz ohne Ende, oder?! grizzly999 Zitieren Link zu diesem Kommentar
-MaxXx- 10 Geschrieben 28. Mai 2004 Autor Melden Teilen Geschrieben 28. Mai 2004 Hallo Da ich noch recht neu auf dem Gebiet Windows Server bin, hier habe ich die Sicherheitsrichtlinie gesetzt: In Sicherheitsrichtlinie für Domänen und Sicherheitsrichtlinie für DC unter dem Punkt Lokale Richtlinie - Überwachungsrichtlinie - Fehlversuche bzw. Keine Überwachung teilweise sogar. Ob es jetzt richtig oder falsch ist was ich eingestellt habe mal abgesehen, eigentlich sollte doch im Ereignisprotokoll fast gar nichts mehr stehen oder ? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Mai 2004 Melden Teilen Geschrieben 28. Mai 2004 Es hätte in deinem Fall die GPO auf Domain Controllers gereicht, da der SBS ja unterhalb der Domain Controllers OU ist. Wenn die Richtlinie übernommen ist, stehen auch nur noch Fehlüberwachungen drin, ausser natürlich, die, die schon vor dem Umstellen der Richtlinie drin waren und nicht gelöscht wurden. grizzly999 Zitieren Link zu diesem Kommentar
-MaxXx- 10 Geschrieben 28. Mai 2004 Autor Melden Teilen Geschrieben 28. Mai 2004 hmmm... ich schau nochmal nach der GPO, aber erstmal dankeschön für die Hilfe von euch... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.