Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2k8 im Sicherheitsprotokoll bis zu 100.000 Einträge pro Tag

Frage Microsoft Windows Server

Mitglied: arcview10

arcview10 (Level 1) - Jetzt verbinden

07.04.2011, aktualisiert 14.04.2011, 13972 Aufrufe, 3 Kommentare

Bei den SBS 2008 werden täglich ca. 100000 Einträge erstellt. es halndelt sich dabei und die Events 4624 (Anmelden), 4672 (Spezielle Anwendung), 4634 (Abmelden).

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46
Anmelde-GUID: {cb5e5a3c-2f3a-3140-f82b-f848f7f70834}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::6eca:8493:7fc9:9b6e
Quellport: 55698

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333058</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x32810f46</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{CB5E5A3C-2F3A-3140-F82B-F848F7F70834}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::6eca:8493:7fc9:9b6e</Data>
<Data Name="IpPort">55698</Data>
</EventData>
</Event>





Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:33:29
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x32810f46

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:33:29.062Z" />
<EventRecordID>58333057</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="1244" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER02$</Data>
<Data Name="SubjectDomainName">xxx</Data>
<Data Name="SubjectLogonId">0x32810f46</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>






Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 07.04.2011 13:30:17
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER02.xxx.local
Beschreibung:
Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER02$
Kontodomäne: xxx
Anmelde-ID: 0x326fa97b

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-04-07T11:30:17.452Z" />
<EventRecordID>58333012</EventRecordID>
<Correlation />
<Execution ProcessID="680" ThreadID="2784" />
<Channel>Security</Channel>
<Computer>SERVER02.xxx.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVER02$</Data>
<Data Name="TargetDomainName">xxx</Data>
<Data Name="TargetLogonId">0x326fa97b</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>





Hat jemand einen Tip welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.


Vielen Dank!!
Mitglied: bnutzinger
07.04.2011 um 16:13 Uhr
Hi,

ich verstehe die Frage nicht.
Diese Ereignisse werden erstellt, wenn sich jemand (oder etwas) auf den Server anmeldet.
In dem von dir geposteten Log ist es ein Etwas, kein jemand, nämlich der Server selbst, der sich anmeldet eine Aufgabe ausführt und sich dann wieder abmeldet.
Das ist im Grunde recht normal. Nur die Anzahl der Einträge ist mit 10k/Tag eher ungewöhnlich.
Ich würde mal ausschau halten nach geplanten Aufgaben die evtl fehlschlagen oder extrem kurze Wiederholungszeiträume haben.

Im schlimmsten Fall handelt es sich hier um einen Schädling, der weiß Gott was versucht. AV software mal durchrennen lassen?

Grüße
Bastian
Bitte warten ..
Mitglied: arcview10
07.04.2011 um 17:02 Uhr
Hallo

Auf dem Server ist symantec Endpoint Protection installiert. Es werden keine Viren gefunden.
Gibt es eine Möglich eine Liste zu erstellen in der man die aktivitäten der einzelnen Dienste oder Programme aufzeichen kann.
Bitte warten ..
Mitglied: MartinC
14.01.2013 um 19:39 Uhr
Hallo,

ich habe den gleichen Effekt:
4672 Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
4624 Ein Konto wurde erfolgreich angemeldet.
4634 Ein Konto wurde abgemeldet.
4769 Ein Kerberos-Dienstticket wurde angefordert.

jeweils ca. 30.000 Einträge/Tag

Haben Sie eine Lösung gefunden?

Beste Grüße,
Martin Cargnelli
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...