Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2k8 im Sicherheitsprotokoll bis zu 100.000 Einträge pro Tag

Frage Microsoft Windows Server

Mitglied: arcview10

arcview10 (Level 1) - Jetzt verbinden

07.04.2011, aktualisiert 14.04.2011, 15204 Aufrufe, 3 Kommentare

Bei den SBS 2008 werden täglich ca. 100000 Einträge erstellt. es halndelt sich dabei und die Events 4624 (Anmelden), 4672 (Spezielle Anwendung), 4634 (Abmelden).

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46
Anmelde-GUID: {cb5e5a3c-2f3a-3140-f82b-f848f7f70834}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::6eca:8493:7fc9:9b6e
Quellport: 55698

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333058</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x32810f46</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{CB5E5A3C-2F3A-3140-F82B-F848F7F70834}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::6eca:8493:7fc9:9b6e</Data>
<Data Name="IpPort">55698</Data>
</EventData>
</Event>





Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333057</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER02$</Data>
<Data Name="SubjectDomainName">xxx</Data>
<Data Name="SubjectLogonId">0x32810f46</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>






Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:30:17
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x326fa97b

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:30:17.452Z" />
<EventRecordID>58333012</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="2784" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x326fa97b</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>





Hat jemand einen Tip welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.


Vielen Dank!!
Mitglied: bnutzinger
07.04.2011 um 16:13 Uhr
Hi,

ich verstehe die Frage nicht.
Diese Ereignisse werden erstellt, wenn sich jemand (oder etwas) auf den Server anmeldet.
In dem von dir geposteten Log ist es ein Etwas, kein jemand, nämlich der Server selbst, der sich anmeldet eine Aufgabe ausführt und sich dann wieder abmeldet.
Das ist im Grunde recht normal. Nur die Anzahl der Einträge ist mit 10k/Tag eher ungewöhnlich.
Ich würde mal ausschau halten nach geplanten Aufgaben die evtl fehlschlagen oder extrem kurze Wiederholungszeiträume haben.

Im schlimmsten Fall handelt es sich hier um einen Schädling, der weiß Gott was versucht. AV software mal durchrennen lassen?

Grüße
Bastian
Bitte warten ..
Mitglied: arcview10
07.04.2011 um 17:02 Uhr
Hallo

Auf dem Server ist symantec Endpoint Protection installiert. Es werden keine Viren gefunden.
Gibt es eine Möglich eine Liste zu erstellen in der man die aktivitäten der einzelnen Dienste oder Programme aufzeichen kann.
Bitte warten ..
Mitglied: MartinC
14.01.2013 um 19:39 Uhr
Hallo,

ich habe den gleichen Effekt:
4672 Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
4624 Ein Konto wurde erfolgreich angemeldet.
4634 Ein Konto wurde abgemeldet.
4769 Ein Kerberos-Dienstticket wurde angefordert.

jeweils ca. 30.000 Einträge/Tag

Haben Sie eine Lösung gefunden?

Beste Grüße,
Martin Cargnelli
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
Special bei 100.000 Mitgliedern?
Frage von Alexander.SchmittAdministrator.de Feedback45 Kommentare

Moin Moin, ich hätte mal eine Frage an dich Frank Hast du irgendetwas besonderes geplant, sobald das Forum die ...

Visual Studio
Rechnen mit sehr großen Zahlen (über 100.000 Stellen) mit Komma
gelöst Frage von Aicher1998Visual Studio12 Kommentare

Hallo ich hab da mal ein kleines Provlem. Ich müsste mit sehr langen Zahlen rechnen (über 100.000 Stellen). Hab ...

Grafik
Ordnerstruktur mit 100.000 SW-Bildddateien in PDFs überführen
Frage von User1000Grafik6 Kommentare

Hallo! Bei uns wurde vor langer Zeit eine Kartei digitalisiert. Jede Karteikarte wurde vorne und hinten gescannt. Wir haben ...

Windows 7
Einträge
Frage von stonesteinWindows 717 Kommentare

Wieviele Berechtigungs Administratoren muß ich zulassen in Einträge wenn nur ein PC Administrator vorhanden ist ,jetzt stehen gerade 5x ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 3 StundenErkennung und -Abwehr

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...