Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zuviele SYSTEM Einträge im Ereignisprotokoll

Frage Microsoft Windows Server

Mitglied: Kurkarte

Kurkarte (Level 1) - Jetzt verbinden

08.02.2007, aktualisiert 09.02.2007, 5263 Aufrufe, 1 Kommentar

Hallo,

ich bin seit Kurzem der Verantwortliche für ein (aus schulischer Sicht) größeres Schulnetzwerk mit >100 Rechnern. Bei uns läuft Windows Server 2003 SE.
Und wir wollen sämtliche Zugriffe auf Dateien, etc. die von den Schülern getätigt werden nachvollziehen können. Dazu haben wir so einiges in den Gruppenrichtlinien zur Überwachung aktiviert.

Nun ist das Ereignisprotokoll (Security) aber ziemlich schnell übervoll. Vor allem mit Ereignissen vom SYSTEM Benutzer, die uns bei der "Überwachung" der Schülerativitäten nicht nutzen.

Im Detail, sind es vor allem die folgenden Ereignisse die das Protokoll schnell aus allen Nähten platzen lässt:

Ereignisnummer - Kurzbeschreibung
538 - Netzwerkabmeldung
540 - Netzwerkanmeldung
576 - Rechte bei Anmeldung
562 - ???
567 - ???

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da würden sie uns ja auch weiterhelfen) .. sondern ständig.

Nun meine Frage:
Wo können wir die Protokollierung dieser Ereignisse abschalten;
Und dabei weiterhin die für uns relevanten gemeldet bekommen ?

Vielen Dank für die Hilfe.

Hier nochmals die Zusammenfassung, wie derzeit unsere Überwachungsrichtlinie lautet:
Anmeldeereignisse überwachen: Keine Überwachung
Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
Kontenverwaltung überwachen: Erfolgreich
Objektzugriffsversuche überwachen: Erfolgreich
Prozessverfolgung überwachen: Keine Überwachung
Rechteverwendung überwachen: Erfolgreich
Richtlinienänderungen überwachen: Erfolgreich
Systemereignisse überwachen: Keine Überwachung
Verzeichnisdienstzugriff überwachen: Erfolgreich

Wie schon erläutert wollen wir natürlich alle Aktionen unserer Schüler mitloggen.
Mitglied: Dani
09.02.2007 um 00:48 Uhr
Abend,
also so die Event ID's sind nachvollziehbar! (siehe www.eventid.net)..

538 - http://eventid.net/display.asp?eventid=538&eventno=7&source=Sec ...
540 - http://eventid.net/display.asp?eventid=540&eventno=9&source=Sec ...
576 - http://eventid.net/display.asp?eventid=576&eventno=58&source=Se ...
562 - http://eventid.net/display.asp?eventid=562&eventno=196&source=S ...
567 - http://eventid.net/display.asp?eventid=567&eventno=5711&source= ...

Diese Ereignisse treten aber nicht bei der Benutzeranmeldung an einem Client auf (da
würden sie uns ja auch weiterhelfen) .. sondern ständig.
Zum Teil.... 538 und 540 treten immer bei Anmeldung / Abmeldung auf!!
Der Rest sieht Erklärung...

538, 540 - Anmeldeversuche überwachen: Erfolgreich, Fehlgeschlagen
576 - Rechteverwendung überwachen: Erfolgreich
562 - Objektzugriffsversuche überwachen: Erfolgreich
567 - ???

So könnte ich mir das vorstellen.
Aber warum wollt ihr alles Loggen. Normal reicht doch Login / Logoff und Rest müsste so verwaltet werden (Speicher, Internet, Rechte, GPO, etc...), dass die Schüler nix machen können, oder?!


Gruß
Dani
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
SAN, NAS, DAS
NAS-System von Qnap weist laut F-Secure-Warnung Sicherheitslecks auf

Link von runasservice zum Thema SAN, NAS, DAS ...

Microsoft
gelöst Exchange EdgeTransport "System.TypeInitializationException" !? (7)

Frage von PixL86 zum Thema Microsoft ...

Windows Netzwerk
gelöst Wie DNS Einträge löschen außer durch flushdns (16)

Frage von f.reisenhauer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Linux
gelöst Boot failed: not a bootable disk (10)

Frage von Fleckmen zum Thema Linux ...

Windows Installation
Eine etwas (wirklich) speziellere Frage: Windows 10-Installation über (9)

Frage von DerFurrer zum Thema Windows Installation ...

Windows Server
Probleme mit Client Software Zugriff auf Windows Server 2012 (8)

Frage von it-kolli zum Thema Windows Server ...

Multimedia & Zubehör
gelöst Iphone 6 prob (8)

Frage von jensgebken zum Thema Multimedia & Zubehör ...