waschbaerenbande
Goto Top

SRV2008 R2 Standard Ereignisanzeige teilweise bereinigt?

Hallo Zusammen,

mir ist heute bei der Fehleranalyse etwas merkwürdiges untergekommen.

Drumherum:
14:00-17:00 Uhr wurden WinUpdates auf dem Server (SRV2008 R2 Standard) installiert (+neustarts).
Während dieser Zeit wurde eine IP-Adresse in einer config Datei geändert und zwar auf diese IP (xx.xx.0.15.20:Port Kein Fehler meinerseits IP mit 5 Stellen).
Soweit so interessant.

Diese Datei wurde um 15:30:35 Uhr von User123 geändert, ca. 30 min später wurde der Eintrag berichtigt. (Erkannt anhand der Sql_Error_Logs).

Dieser User hat sich aber erst gegen 17:50 Uhr angemeldet, laut Ereignisanzeige.

Die Ereignisanzeige weisst zw. 13:08:21 Uhr - 15:24:14 Uhr ein Lücke auf und zwar nur im TerminalServices-LocalSessionManager.

In dieser Zeit MUSS es aber Anmeldungen gegeben haben, da Winupdates und neustarts...

Daher meine Frage aus der Überschrift...

Kann man die Ereignisanzeige teilweise bereinigen?
Bzw. kann man derartiges Nachvollziehen (außer an evtl. Lücken...)?

Ich danke schon mal für das Durchlesen.

Hoffentlich könnt ihr mir da etwas auf die Sprünge helfen.

Lg

Content-Key: 340997

Url: https://administrator.de/contentid/340997

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: 117471
117471 19.06.2017 um 20:15:09 Uhr
Goto Top
Hallo,

Dienst stoppen?

Gruß,
Jörg
Mitglied: Waschbaerenbande
Waschbaerenbande 19.06.2017 um 21:18:05 Uhr
Goto Top
Hallo Jörg,

an diese einfache Möglichkeit hatte ich noch nicht gedacht, danke.

Wenn der Dienst gestoppt wird, dann würde die gesamte Ereignisanzeige eine Lücke aufweisen.
In meinem Fall betrifft es nur die TerminalServices-LocalSessionManager Anzeige.

Danke für den Denkanstoß,

Lg