Recentemente, começamos a registrar 4.624 IDs de evento em nossos controladores de domínio para ajudar a rastrear a atividade do usuário. No geral, tudo bem, mas recentemente comecei a receber essas mensagens repetidamente.
20 de fevereiro 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing [536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [A descrição do EventID 4624 da fonte Microsoft- A auditoria de segurança do Windows não foi encontrada: o editor foi desabilitado e seu recurso não está disponível. Isso geralmente ocorre quando o editor está em processo de desinstalação ou atualização.
Sei que nossa equipe de OPs atualizou recentemente os servidores, mas isso ainda está ocorrendo e não encontrei muitas referências sobre como impedir isso. Alguém mais se deparou com esses logs? Obrigado.
Responder1
O evento 4624 é uma notificação de que uma conta foi conectada com êxito.
Quanto à mensagem de erro sobre a desativação do editor, este é um erro que a Microsoft forneceu uma correção paraaqui. Aparentemente, é um erro do Windows Update – o grupo de leitores de log de eventos perdeu uma permissão de registro.
Para C&P das instruções "deixe-me consertar sozinho" (em caso de apodrecimento do link):
- Abra o Editor do Registro. Para fazer isso, clique em Iniciar, digite regedit na caixa Iniciar pesquisa e pressione Enter.
- Localize e clique nas seguintes chaves de registro:
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- Clique com o botão direito em Microsoft-Windows-Security-Auditing no painel esquerdo e clique em Permissões….
- Clique no botão Adicionar… na caixa de diálogo de permissão.
- Na caixa Insira os nomes dos objetos a serem selecionados, digite Leitores de Log de Eventos e clique no botão Verificar Nomes.
- Clique em OK para fechar todas as janelas de diálogo.
(Eles também incluem isenções de responsabilidade padrão sobre a edição do registro, que estou repassando aqui.)