ID de evento de Windows 4624 que se repite con recurso no disponible

tag-icon tag-icon windows logging
ID de evento de Windows 4624 que se repite con recurso no disponible

Recientemente comenzamos a registrar 4624 ID de eventos en nuestros controladores de dominio para ayudar a rastrear la actividad del usuario. En general, esto ha estado bien, pero recientemente comencé a recibir estos mensajes una y otra vez.

20 de febrero 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [La descripción de EventID 4624 de la fuente Microsoft- No se puede encontrar Windows-Security-Auditing: el editor ha sido deshabilitado y su recurso no está disponible. Esto suele ocurrir cuando el editor está en proceso de desinstalación o actualización.

Sé que nuestro equipo de OP actualizó recientemente los servidores, pero esto continúa ocurriendo y no he encontrado muchas referencias sobre cómo detenerlo. ¿Alguien más se ha encontrado con estos registros? Gracias.

Respuesta1

El evento 4624 es una notificación de que se inició sesión correctamente en una cuenta.

En cuanto al mensaje de error sobre la desactivación del editor, se trata de un error para el que Microsoft ha proporcionado una solución.aquí. Aparentemente es un error de una actualización de Windows: el grupo de lectores de registros de eventos ha perdido un permiso de registro.

A C&P desde las instrucciones "déjame arreglarlo yo mismo" (en caso de que el enlace se pudra):

  1. Abra el Editor del Registro. Para hacer esto, haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y luego presione Entrar.
  2. Localice y luego haga clic en las siguientes claves de registro:
  3. HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
  4. Haga clic derecho en Microsoft-Windows-Security-Auditing en el panel izquierdo y luego haga clic en Permisos….
  5. Haga clic en el botón Agregar… en el cuadro de diálogo de permiso.
  6. En el cuadro Ingrese los nombres de los objetos para seleccionar, escriba Lectores de registro de eventos y luego haga clic en el botón Comprobar nombres.
  7. Haga clic en Aceptar para cerrar todas las ventanas de diálogo.

(También incluyen exenciones de responsabilidad estándar sobre la edición del registro, que les transmito aquí).

información relacionada