최근에는 사용자 활동을 추적하는 데 도움이 되도록 도메인 컨트롤러에서 4624 이벤트 ID를 기록하기 시작했습니다. 전반적으로 괜찮았지만 최근에는 이러한 메시지가 계속해서 수신되기 시작했습니다.
Feb 20 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [소스 Microsoft의 EventID 4624에 대한 설명- Windows-Security-Auditing을 찾을 수 없습니다. 게시자가 비활성화되었으며 해당 리소스를 사용할 수 없습니다. 이는 일반적으로 게시자가 제거되거나 업그레이드되는 중일 때 발생합니다.
우리 OP 팀이 최근 서버를 업데이트했다는 것을 알고 있지만 여전히 발생하고 있으며 이를 중지하는 방법에 대한 참조를 많이 찾지 못했습니다. 이 로그를 본 다른 사람이 있나요? 감사해요.
답변1
이벤트 4624는 계정이 성공적으로 로그온되었음을 알리는 알림입니다.
게시자가 비활성화되었다는 오류 메시지는 Microsoft에서 수정 사항을 제공한 오류입니다.여기. Windows 업데이트로 인해 발생한 문제인 것 같습니다. 이벤트 로그 판독기 그룹이 레지스트리 권한을 잃었습니다.
"직접 해결" 지침에서 C&P로 이동하려면(링크가 손상된 경우):
- 레지스트리 편집기를 엽니다. 이렇게 하려면 시작을 클릭하고 검색 시작 상자에 regedit를 입력한 다음 Enter 키를 누릅니다.
- 다음 레지스트리 키를 찾아 클릭합니다.
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- 왼쪽 창에서 Microsoft-Windows-Security-Auditing을 마우스 오른쪽 버튼으로 클릭한 다음 사용 권한…을 클릭합니다.
- 권한 대화 상자에서 추가… 버튼을 클릭하세요.
- 선택할 개체 이름을 입력하십시오. 상자에 Event Log Readers를 입력한 다음 이름 확인 버튼을 클릭합니다.
- 확인을 클릭하여 모든 대화 상자 창을 닫습니다.
(여기에는 레지스트리 편집에 대한 표준 면책 조항도 포함되어 있습니다.)