1
Zuviele SYSTEM Einträge im Ereignisprotokoll
Hallo,
ich bin seit Kurzem der Verantwortliche für ein (aus schulischer Sicht) größeres Schulnetzwerk mit >100 Rechnern. Bei uns läuft Windows Server 2003 SE.
Und wir wollen sämtliche Zugriffe auf Dateien, etc. die von den Schülern getätigt werden nachvollziehen können. Dazu haben wir so einiges in den Gruppenrichtlinien zur Überwachung aktiviert.
Nun ist das Ereignisprotokoll (Security) aber ziemlich schnell übervoll. Vor allem mit Ereignissen vom SYSTEM Benutzer, die uns bei der "Überwachung" der Schülerativitäten nicht nutzen.
Im Detail, sind es vor allem die folgenden Ereignisse die das Protokoll schnell aus allen Nähten platzen lässt:
Ereignisnummer - Kurzbeschreibung
538 - Netzwerkabmeldung
540 - Netzwerkanmeldung
576 - Rechte bei Anmeldung
562 - ???
567 - ???
Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da würden sie uns ja auch weiterhelfen) .. sondern ständig.
Nun meine Frage:
Wo können wir die Protokollierung dieser Ereignisse abschalten;
Und dabei weiterhin die für uns relevanten gemeldet bekommen ?
Vielen Dank für die Hilfe.
Hier nochmals die Zusammenfassung, wie derzeit unsere Überwachungsrichtlinie lautet:
Anmeldeereignisse überwachen: Keine Überwachung
Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
Kontenverwaltung überwachen: Erfolgreich
Objektzugriffsversuche überwachen: Erfolgreich
Prozessverfolgung überwachen: Keine Überwachung
Rechteverwendung überwachen: Erfolgreich
Richtlinienänderungen überwachen: Erfolgreich
Systemereignisse überwachen: Keine Überwachung
Verzeichnisdienstzugriff überwachen: Erfolgreich
Wie schon erläutert wollen wir natürlich alle Aktionen unserer Schüler mitloggen.
ich bin seit Kurzem der Verantwortliche für ein (aus schulischer Sicht) größeres Schulnetzwerk mit >100 Rechnern. Bei uns läuft Windows Server 2003 SE.
Und wir wollen sämtliche Zugriffe auf Dateien, etc. die von den Schülern getätigt werden nachvollziehen können. Dazu haben wir so einiges in den Gruppenrichtlinien zur Überwachung aktiviert.
Nun ist das Ereignisprotokoll (Security) aber ziemlich schnell übervoll. Vor allem mit Ereignissen vom SYSTEM Benutzer, die uns bei der "Überwachung" der Schülerativitäten nicht nutzen.
Im Detail, sind es vor allem die folgenden Ereignisse die das Protokoll schnell aus allen Nähten platzen lässt:
Ereignisnummer - Kurzbeschreibung
538 - Netzwerkabmeldung
540 - Netzwerkanmeldung
576 - Rechte bei Anmeldung
562 - ???
567 - ???
Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da würden sie uns ja auch weiterhelfen) .. sondern ständig.
Nun meine Frage:
Wo können wir die Protokollierung dieser Ereignisse abschalten;
Und dabei weiterhin die für uns relevanten gemeldet bekommen ?
Vielen Dank für die Hilfe.
Hier nochmals die Zusammenfassung, wie derzeit unsere Überwachungsrichtlinie lautet:
Anmeldeereignisse überwachen: Keine Überwachung
Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
Kontenverwaltung überwachen: Erfolgreich
Objektzugriffsversuche überwachen: Erfolgreich
Prozessverfolgung überwachen: Keine Überwachung
Rechteverwendung überwachen: Erfolgreich
Richtlinienänderungen überwachen: Erfolgreich
Systemereignisse überwachen: Keine Überwachung
Verzeichnisdienstzugriff überwachen: Erfolgreich
Wie schon erläutert wollen wir natürlich alle Aktionen unserer Schüler mitloggen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 51123
Url: https://administrator.de/contentid/51123
Printed on: April 19, 2024 at 18:04 o'clock
1 Comment
Abend,
also so die Event ID's sind nachvollziehbar! (siehe www.eventid.net)..
538 - http://eventid.net/display.asp?eventid=538&eventno=7&source=Sec ...
540 - http://eventid.net/display.asp?eventid=540&eventno=9&source=Sec ...
576 - http://eventid.net/display.asp?eventid=576&eventno=58&source=Se ...
562 - http://eventid.net/display.asp?eventid=562&eventno=196&source=S ...
567 - http://eventid.net/display.asp?eventid=567&eventno=5711&source= ...
Der Rest sieht Erklärung...
538, 540 - Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
576 - Rechteverwendung überwachen: Erfolgreich
562 - Objektzugriffsversuche überwachen: Erfolgreich
567 - ???
So könnte ich mir das vorstellen.
Aber warum wollt ihr alles Loggen. Normal reicht doch Login / Logoff und Rest müsste so verwaltet werden (Speicher, Internet, Rechte, GPO, etc...), dass die Schüler nix machen können, oder?!
Gruß
Dani
also so die Event ID's sind nachvollziehbar! (siehe www.eventid.net)..
538 - http://eventid.net/display.asp?eventid=538&eventno=7&source=Sec ...
540 - http://eventid.net/display.asp?eventid=540&eventno=9&source=Sec ...
576 - http://eventid.net/display.asp?eventid=576&eventno=58&source=Se ...
562 - http://eventid.net/display.asp?eventid=562&eventno=196&source=S ...
567 - http://eventid.net/display.asp?eventid=567&eventno=5711&source= ...
Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da
würden sie uns ja auch weiterhelfen) .. sondern ständig.
Zum Teil.... 538 und 540 treten immer bei Anmeldung / Abmeldung auf!!würden sie uns ja auch weiterhelfen) .. sondern ständig.
Der Rest sieht Erklärung...
538, 540 - Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
576 - Rechteverwendung überwachen: Erfolgreich
562 - Objektzugriffsversuche überwachen: Erfolgreich
567 - ???
So könnte ich mir das vorstellen.
Aber warum wollt ihr alles Loggen. Normal reicht doch Login / Logoff und Rest müsste so verwaltet werden (Speicher, Internet, Rechte, GPO, etc...), dass die Schüler nix machen können, oder?!
Gruß
Dani
