Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows-Protokoll-Sicherheit hat viele Überwachung erfolgreich Meldungen innerhalb kürzerster Zeit

Frage Microsoft Windows Server

Mitglied: Radiohead

Radiohead (Level 1) - Jetzt verbinden

27.05.2009, aktualisiert 09:54 Uhr, 18157 Aufrufe, 1 Kommentar

Windows SBS-2008 erhält innerhalb kürzerster Zeit eine Menge an "Überwachung erfolgreich" Meldungen (ca. 100.000/Tag). Dabei handelt es sich um meistens um 4 sich wiederholende Meldungen. Ich danke für Tips welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.

Folgende Ereignis-IDs tauchen innerhalb kürzerster Zeit in folgender Reihenfolge auf: 4672, 4769, 4624, 4634

ID 4672
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
ID 4769
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Kerberos-Dienstticket wurde angefordert.
ID 4624
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde erfolgreich angemeldet.
ID 4634
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde abgemeldet.
Detailprotokoll:


Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351826c

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.409Z" />
<EventRecordID>5639291</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVERNAME$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x351826c</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>


Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Kerberos-Dienstticket wurde angefordert.

Kontoinformationen:
Kontoname: SERVERNAME$@DOMAIN.LOCAL
Kontodomäne: DOMAIN.LOCAL
Anmelde-GUID: {21042E5B-8152-9C52-187A-1274656FDF8F}

Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: DOMAIN\krbtgt

Netzwerkinformationen:
Clientadresse: ::1
Clientport: 0

Weitere Informationen:
Ticketoptionen: 0x60810010
Ticketverschlüsselungstyp: 0x17
Fehlercode: 0x0
Übertragene Dienste: -

Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die Ressource, auf die der Zugriff angefordert wurde.

Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.

Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.406Z" />
<EventRecordID>5639290</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="2872" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">SERVERNAME$@DOMAIN.LOCAL</Data>
<Data Name="TargetDomainName">DOMAIN.LOCAL</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-95688018-1014954624-2888060996-502</Data>
<Data Name="TicketOptions">0x60810010</Data>
<Data Name="TicketEncryptionType">0x17</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">0</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{21042E5B-8152-9C52-187A-1274656FDF8F}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.403Z" />
<EventRecordID>5639289</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="6092" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmelde-GUID: {E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::4f31:226e:9258:a5eb
Quellport: 39230

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.399Z" />
<EventRecordID>5639288</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::4f31:226e:9258:a5eb</Data>
<Data Name="IpPort">39230</Data>
</EventData>
</Event>
Mitglied: MartinC
14.01.2013 um 20:13 Uhr
Ich habe den selben Effekt - haben Sie eine Lösung gefunden?

Beste Grüße,
Martin Cargnelli
Bitte warten ..
Ähnliche Inhalte
Windows Server
Viele "Überwachung gescheitert" Meldungen von "GUEST" in der Domäne
Frage von sphere5Windows Server4 Kommentare

Hallo, ich habe bei einem unsere Kunden in der Serverüberwachung sehr häufig "Überwachung gescheitert" Meldung über fehlgeschlagene Anmeldeversuche. Diese ...

LAN, WAN, Wireless
Protokoll unterschiede zwischen WLAN Protokoll und Ethernet Protokoll
Frage von Kay2003LAN, WAN, Wireless3 Kommentare

Schönen Guten Tag, ich bräuchte etwas Hilfe in dem Themen Bereich der Protokolle beim WLAN und Ethernet. Zurzeit arbeite ...

Microsoft
Überwachung von Windows-Updates
gelöst Frage von honeybeeMicrosoft7 Kommentare

Hallo, gibt es mit Windows-Bordmitteln eine Lösung, irgendeine Infomeldung zu bekommen, wenn auf einem Server neue Updates installiert wurden ...

Windows Server
Überwachung von Diensten auf einem Windows Server
Frage von docteurbushWindows Server8 Kommentare

Kann das Programm ManagedEngine die lfd. Dienste eines WindowsServer (2008) überwachen und bei Ausfall einen Alarm geben. Es geht ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 4 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 8 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 8 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 12 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...