SBS2k8 im Sicherheitsprotokoll bis zu 100.000 Einträge pro Tag

Bei den SBS 2008 werden täglich ca. 100000 Einträge erstellt. es halndelt sich dabei und die Events 4624 (Anmelden), 4672 (Spezielle Anwendung), 4634 (Abmelden).

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46
Anmelde-GUID: {cb5e5a3c-2f3a-3140-f82b-f848f7f70834}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::6eca:8493:7fc9:9b6e
Quellport: 55698

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333058</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x32810f46</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{CB5E5A3C-2F3A-3140-F82B-F848F7F70834}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::6eca:8493:7fc9:9b6e</Data>
<Data Name="IpPort">55698</Data>
</EventData>
</Event>




Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333057</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER02$</Data>
<Data Name="SubjectDomainName">xxx</Data>
<Data Name="SubjectLogonId">0x32810f46</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>





Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:30:17
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x326fa97b

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:30:17.452Z" />
<EventRecordID>58333012</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="2784" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x326fa97b</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>




Hat jemand einen Tip welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.


Vielen Dank!!