Windows-Ereignis-ID 4624 wiederholt sich mit „Ressource nicht verfügbar“

tag-icon tag-icon windows logging
Windows-Ereignis-ID 4624 wiederholt sich mit „Ressource nicht verfügbar“

Wir haben vor Kurzem damit begonnen, 4624 Ereignis-IDs auf unseren Domänencontrollern zu protokollieren, um die Benutzeraktivität besser verfolgen zu können. Insgesamt hat das nichts genützt, aber seit Kurzem erhalten wir diese Meldungen immer wieder.

20. Feb 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [Die Beschreibung für EventID 4624 aus der Quelle Microsoft-Windows-Security-Auditing kann nicht gefunden werden: Der Herausgeber wurde deaktiviert und seine Ressource ist nicht verfügbar. Dies tritt normalerweise auf, wenn der Herausgeber gerade deinstalliert oder aktualisiert wird.

Ich weiß, dass unser OP-Team die Server vor Kurzem aktualisiert hat, aber es passiert immer noch und ich habe nicht viele Hinweise gefunden, wie man das stoppen kann. Ist sonst noch jemand auf diese Protokolle gestoßen? Danke.

Antwort1

Ereignis 4624 ist eine Benachrichtigung, dass ein Konto erfolgreich angemeldet wurde.

Was die Fehlermeldung über die Deaktivierung des Herausgebers betrifft, handelt es sich um einen Fehler, für den Microsoft einen Fix bereitgestellt hat.Hier. Es handelt sich offenbar um ein Hoppla bei einem Windows-Update – die Gruppe der Ereignisprotokollleser hat eine Registrierungsberechtigung verloren.

Zum Kopieren und Kopieren aus den „Lass es mich selbst reparieren“-Anweisungen (im Falle eines Link-Rot):

  1. Öffnen Sie den Registrierungseditor. Klicken Sie dazu auf „Start“, geben Sie „regedit“ in das Suchfeld ein und drücken Sie die Eingabetaste.
  2. Suchen Sie die folgenden Registrierungsschlüssel und klicken Sie darauf:
  3. HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
  4. Klicken Sie im linken Bereich mit der rechten Maustaste auf „Microsoft-Windows-Security-Auditing“ und klicken Sie dann auf „Berechtigungen…“.
  5. Klicken Sie im Berechtigungsdialogfeld auf die Schaltfläche Hinzufügen….
  6. Geben Sie im Feld „Geben Sie die auszuwählenden Objektnamen ein“ den Namen „Ereignisprotokollleser“ ein und klicken Sie dann auf die Schaltfläche „Namen überprüfen“.
  7. Klicken Sie auf „OK“, um alle Dialogfenster zu schließen.

(Sie enthalten auch Standard-Haftungsausschlüsse zum Bearbeiten der Registrierung, die ich hier weitergebe.)

verwandte Informationen