最近、ユーザー アクティビティを追跡するために、ドメイン コントローラーで 4624 イベント ID のログを記録し始めました。全体的には問題ありませんでしたが、最近これらのメッセージが何度も表示されるようになりました。
2月20日 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [ソース Microsoft-Windows-Security-Auditing からのイベントID 4624 の説明が見つかりません: 発行元が無効になっており、そのリソースは使用できません。これは通常、発行元のアンインストールまたはアップグレードが進行中の場合に発生します。
私たちの OP チームが最近サーバーを更新したことは知っていますが、この問題はまだ発生しており、これを阻止する方法についての参照があまり見つかりません。他にもこれらのログに遭遇した人はいますか? ありがとうございます。
答え1
イベント 4624 は、アカウントが正常にログオンされたことを通知します。
発行者が無効になっているというエラーメッセージについては、これはMicrosoftが修正を提供しているエラーです。ここどうやら、Windows Update の不具合のようです。イベント ログ リーダー グループがレジストリ アクセス許可を失っています。
「自分で修正しましょう」の指示から C&P へ (リンクが切れた場合):
- レジストリ エディターを開きます。これを行うには、[スタート] をクリックし、[検索の開始] ボックスに「regedit」と入力して、Enter キーを押します。
- 次のレジストリ キーを見つけてクリックします。
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- 左側のペインで Microsoft-Windows-Security-Auditing を右クリックし、[アクセス許可...] をクリックします。
- 権限ダイアログの「追加…」ボタンをクリックします。
- [選択するオブジェクト名を入力してください] ボックスに「Event Log Readers」と入力し、[名前の確認] ボタンをクリックします。
- [OK] をクリックして、すべてのダイアログ ウィンドウを閉じます。
(レジストリの編集に関する標準的な免責事項も含まれており、ここで紹介します。)