Недавно мы начали регистрировать 4624 идентификатора событий на наших контроллерах домена, чтобы отслеживать активность пользователей. В целом все было хорошо, но недавно я начал получать эти сообщения снова и снова.
20 фев 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [Описание EventID 4624 из источника Microsoft-Windows-Security-Auditing не может быть найдено: Издатель был отключен, и его ресурс недоступен. Обычно это происходит, когда издатель находится в процессе удаления или обновления.
Я знаю, что наша команда OP недавно обновила серверы, но это все еще происходит, и я не нашел много ссылок на то, как это остановить. Кто-нибудь еще сталкивался с этими журналами? Спасибо.
решение1
Событие 4624 — это уведомление об успешном входе в учетную запись.
Что касается сообщения об ошибке отключения издателя, то это ошибка, для которой Microsoft предоставила исправление.здесь. По-видимому, это ошибка Центра обновления Windows — группа читателей журнала событий потеряла разрешение на доступ к реестру.
Для C&P из инструкции «позвольте мне исправить это самостоятельно» (на случай неработающей ссылки):
- Откройте редактор реестра. Для этого нажмите кнопку Пуск, введите regedit в поле Начать поиск и нажмите Enter.
- Найдите и щелкните следующие разделы реестра:
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- Щелкните правой кнопкой мыши Microsoft-Windows-Security-Auditing на левой панели, а затем щелкните Разрешения….
- Нажмите кнопку Добавить… в диалоговом окне разрешений.
- В поле Введите имена выбираемых объектов введите Event Log Readers, а затем нажмите кнопку Проверить имена.
- Нажмите «ОК», чтобы закрыть все диалоговые окна.
(Они также включают стандартные отказы от ответственности за редактирование реестра, которые я здесь и привожу.)