Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zuviele SYSTEM Einträge im Ereignisprotokoll

Mitglied: Kurkarte

Kurkarte (Level 1) - Jetzt verbinden

08.02.2007, aktualisiert 09.02.2007, 5322 Aufrufe, 1 Kommentar

Hallo,

ich bin seit Kurzem der Verantwortliche für ein (aus schulischer Sicht) größeres Schulnetzwerk mit >100 Rechnern. Bei uns läuft Windows Server 2003 SE.
Und wir wollen sämtliche Zugriffe auf Dateien, etc. die von den Schülern getätigt werden nachvollziehen können. Dazu haben wir so einiges in den Gruppenrichtlinien zur Überwachung aktiviert.

Nun ist das Ereignisprotokoll (Security) aber ziemlich schnell übervoll. Vor allem mit Ereignissen vom SYSTEM Benutzer, die uns bei der "Überwachung" der Schülerativitäten nicht nutzen.

Im Detail, sind es vor allem die folgenden Ereignisse die das Protokoll schnell aus allen Nähten platzen lässt:

Ereignisnummer - Kurzbeschreibung
538 - Netzwerkabmeldung
540 - Netzwerkanmeldung
576 - Rechte bei Anmeldung
562 - ???
567 - ???

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da würden sie uns ja auch weiterhelfen) .. sondern ständig.

Nun meine Frage:
Wo können wir die Protokollierung dieser Ereignisse abschalten;
Und dabei weiterhin die für uns relevanten gemeldet bekommen ?

Vielen Dank für die Hilfe.

Hier nochmals die Zusammenfassung, wie derzeit unsere Überwachungsrichtlinie lautet:
Anmeldeereignisse überwachen: Keine Überwachung
Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
Kontenverwaltung überwachen: Erfolgreich
Objektzugriffsversuche überwachen: Erfolgreich
Prozessverfolgung überwachen: Keine Überwachung
Rechteverwendung überwachen: Erfolgreich
Richtlinienänderungen überwachen: Erfolgreich
Systemereignisse überwachen: Keine Überwachung
Verzeichnisdienstzugriff überwachen: Erfolgreich

Wie schon erläutert wollen wir natürlich alle Aktionen unserer Schüler mitloggen.
Mitglied: Dani
09.02.2007 um 00:48 Uhr
Abend,
also so die Event ID's sind nachvollziehbar! (siehe www.eventid.net)..

538 - http://eventid.net/display.asp?eventid=538&eventno=7&source=Sec ...
540 - http://eventid.net/display.asp?eventid=540&eventno=9&source=Sec ...
576 - http://eventid.net/display.asp?eventid=576&eventno=58&source=Se ...
562 - http://eventid.net/display.asp?eventid=562&eventno=196&source=S ...
567 - http://eventid.net/display.asp?eventid=567&eventno=5711&source= ...

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da
würden sie uns ja auch weiterhelfen) .. sondern ständig.
Zum Teil.... 538 und 540 treten immer bei Anmeldung / Abmeldung auf!!
Der Rest sieht Erklärung...

538, 540 - Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
576 - Rechteverwendung überwachen: Erfolgreich
562 - Objektzugriffsversuche überwachen: Erfolgreich
567 - ???

So könnte ich mir das vorstellen.
Aber warum wollt ihr alles Loggen. Normal reicht doch Login / Logoff und Rest müsste so verwaltet werden (Speicher, Internet, Rechte, GPO, etc...), dass die Schüler nix machen können, oder?!


Gruß
Dani
Bitte warten ..
Ähnliche Inhalte
Windows Server

Ereignisprotokoll "Sicherheit" loggt keine Objektzugriffsversuche und generell sehr wenige Einträge.

Frage von NoAenAssEyWindows Server1 Kommentar

Hallo Community, wir haben folgende Domaincontroller: 1x Win2012 R2 (FSMO Rollen) 1x Win2008 R2 (ist auch gleichzeitig Fileserver) Der ...

Windows Installation

Regestry eintrag bei Windows System Image Manager

Frage von dakoerryWindows Installation10 Kommentare

Hallo kann mir einer helfen wo kann man bei Windows System Image Manager einen Regestry ein trag vornehmen. Ich ...

Windows 7

Einträge im System Log 136 und 137 alle 5 Sekunden

Frage von flugfaustWindows 7

Hallo, ich erhalte auf einem PC mit Windows 7 alle 5 Sekunden folgende Log Einträge: ID: 136 Quelle: NTFS ...

Batch & Shell

Loginzeiten aus dem Ereignisprotokoll in Excel schreiben

gelöst Frage von l-Ne0nBatch & Shell1 Kommentar

Hallo, mein Rechner läuft von Montags bis Freitags durch, aber ich würde gerne sehen, wann ich morgens an den ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 52 MinutenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO iLO ist gefährdet Copyright © und alle Rechte liegen ...

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 9 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing17 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...