Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zuviele SYSTEM Einträge im Ereignisprotokoll

Frage Microsoft Windows Server

Mitglied: Kurkarte

Kurkarte (Level 1) - Jetzt verbinden

08.02.2007, aktualisiert 09.02.2007, 5253 Aufrufe, 1 Kommentar

Hallo,

ich bin seit Kurzem der Verantwortliche für ein (aus schulischer Sicht) größeres Schulnetzwerk mit >100 Rechnern. Bei uns läuft Windows Server 2003 SE.
Und wir wollen sämtliche Zugriffe auf Dateien, etc. die von den Schülern getätigt werden nachvollziehen können. Dazu haben wir so einiges in den Gruppenrichtlinien zur Überwachung aktiviert.

Nun ist das Ereignisprotokoll (Security) aber ziemlich schnell übervoll. Vor allem mit Ereignissen vom SYSTEM Benutzer, die uns bei der "Überwachung" der Schülerativitäten nicht nutzen.

Im Detail, sind es vor allem die folgenden Ereignisse die das Protokoll schnell aus allen Nähten platzen lässt:

Ereignisnummer - Kurzbeschreibung
538 - Netzwerkabmeldung
540 - Netzwerkanmeldung
576 - Rechte bei Anmeldung
562 - ???
567 - ???

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da würden sie uns ja auch weiterhelfen) .. sondern ständig.

Nun meine Frage:
Wo können wir die Protokollierung dieser Ereignisse abschalten;
Und dabei weiterhin die für uns relevanten gemeldet bekommen ?

Vielen Dank für die Hilfe.

Hier nochmals die Zusammenfassung, wie derzeit unsere Überwachungsrichtlinie lautet:
Anmeldeereignisse überwachen: Keine Überwachung
Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
Kontenverwaltung überwachen: Erfolgreich
Objektzugriffsversuche überwachen: Erfolgreich
Prozessverfolgung überwachen: Keine Überwachung
Rechteverwendung überwachen: Erfolgreich
Richtlinienänderungen überwachen: Erfolgreich
Systemereignisse überwachen: Keine Überwachung
Verzeichnisdienstzugriff überwachen: Erfolgreich

Wie schon erläutert wollen wir natürlich alle Aktionen unserer Schüler mitloggen.
Mitglied: Dani
09.02.2007 um 00:48 Uhr
Abend,
also so die Event ID's sind nachvollziehbar! (siehe www.eventid.net)..

538 - http://eventid.net/display.asp?eventid=538&eventno=7&source=Sec ...
540 - http://eventid.net/display.asp?eventid=540&eventno=9&source=Sec ...
576 - http://eventid.net/display.asp?eventid=576&eventno=58&source=Se ...
562 - http://eventid.net/display.asp?eventid=562&eventno=196&source=S ...
567 - http://eventid.net/display.asp?eventid=567&eventno=5711&source= ...

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da
würden sie uns ja auch weiterhelfen) .. sondern ständig.
Zum Teil.... 538 und 540 treten immer bei Anmeldung / Abmeldung auf!!
Der Rest sieht Erklärung...

538, 540 - Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
576 - Rechteverwendung überwachen: Erfolgreich
562 - Objektzugriffsversuche überwachen: Erfolgreich
567 - ???

So könnte ich mir das vorstellen.
Aber warum wollt ihr alles Loggen. Normal reicht doch Login / Logoff und Rest müsste so verwaltet werden (Speicher, Internet, Rechte, GPO, etc...), dass die Schüler nix machen können, oder?!


Gruß
Dani
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Batch & Shell
gelöst Loginzeiten aus dem Ereignisprotokoll in Excel schreiben (1)

Frage von l-Ne0n zum Thema Batch & Shell ...

Erkennung und -Abwehr
Hackers are holding San Francisco s light-rail system for ransom

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Microsoft Office
gelöst Einträge untereinander Auflisten (8)

Frage von batchnewbie zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...