我們最近開始在網域控制站上記錄 4624 個事件 ID,以協助追蹤使用者活動。總的來說,這很好,但最近開始一遍又一遍地收到這些訊息。
2 月 20 日 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [IDEvent 4624 的描述來自 MicrosoftEvent找不到Windows-Security-Auditing:發布者已停用,其資源不可用。當發布者正在卸載或升級時,通常會發生這種情況。
我知道我們的 OP 團隊最近更新了伺服器,但這種情況仍在發生,而且我沒有找到很多關於如何阻止這種情況的參考資料。有其他人遇過這些日誌嗎?謝謝。
答案1
事件 4624 是帳號已成功登入的通知。
至於發布者被停用的錯誤訊息,這是一個錯誤,微軟已經提供了修復這裡。這顯然是 Windows 更新的錯誤——事件日誌讀取器群組失去了登錄權限。
來自“讓我自己修復它”說明的 C&P(以防連結失效):
- 開啟註冊表編輯器。為此,請按一下“開始”,在“開始搜尋”方塊中鍵入 regedit,然後按 Enter。
- 找到並點選以下註冊表項:
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- 右鍵單擊左側窗格中的“Microsoft-Windows-Security-Auditing”,然後按一下“權限…”。
- 點選權限對話框中的新增...按鈕。
- 在“輸入要選擇的物件名稱”方塊中,鍵入“事件日誌讀取器”,然後按一下“檢查名稱”按鈕。
- 按一下「確定」關閉所有對話方塊視窗。
(它們還包括有關編輯註冊表的標準免責聲明,我在這裡傳遞這些聲明。)