[Event Viewer] Security - Netwerken

donderdag 19 mei 2005 10:54

Acties:

Verwijderd

Topicstarter

Beste Fellow Tweakers,

Ik had even een vraagje! Bij mijn security log op mijn DC komen de heletijd 3 Soorten Succes Audit per keer erbij als een user inlogt volgens mijn waarom doet hij dat en waarom dan 3 .

Hieronder de Logs
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 538
Date: 19-5-2005
Time: 10:40:49
User: NT AUTHORITY\SYSTEM
Computer: W2K3SRV1
Description:
User Logoff:
User Name: W2K3SRV1$
Domain: Random
Logon ID: (0x0,0x113288A)
Logon Type: 3

Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 538
Date: 19-5-2005
Time: 10:40:49
User: NT AUTHORITY\SYSTEM
Computer: W2K3SRV1
Description:
User Logoff:
User Name: W2K3SRV1$
Domain: Random
Logon ID: (0x0,0x11328D5)
Logon Type: 3

Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 19-5-2005
Time: 10:40:48
User: NT AUTHORITY\SYSTEM
Computer: W2K3SRV1
Description:
Successful Network Logon:
User Name: W2K3SRV1$
Domain: Random
Logon ID: (0x0,0x11328D5)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {d018f425-4f62-b0ec-cabc-7e57e3c43cfe}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 192.168.1.1
Source Port: 26805

Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 576
Date: 19-5-2005
Time: 10:40:48
User: NT AUTHORITY\SYSTEM
Computer: W2K3SRV1
Description:
Special privileges assigned to new logon:
User Name: W2K3SRV1$
Domain: Random
Logon ID: (0x0,0x11328D5)
Privileges: SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 19-5-2005
Time: 10:40:48
User: NT AUTHORITY\SYSTEM
Computer: W2K3SRV1
Description:
Successful Network Logon:
User Name: W2K3SRV1$
Domain: Random
Logon ID: (0x0,0x113288A)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {61d50ee0-435c-4e3e-93de-8b9cabaefefa}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 127.0.0.1
Source Port: 26800

donderdag 19 mei 2005 11:07

Acties:

leuk_he

1. Controleer de kabel!

wat is nu je vraag/probleem

... overigens tel ik hier 5 events. (van inderdadd 3 soorten. )

User Logoff:
User Logoff:
Successful Network Logon:
Special privileges assigned to new logon:
Successful Network Logon:

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 19 mei 2005 11:10

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik zie dat Event ID:538 telkens terug komt. Hier heb je het antwoord van microsoft:

SUMMARY
Auditing log on and log off events on Windows NT Workstation or Server versions 3.5 and 3.51 produces records in the Security Log. However, what appear to be identical records in the Security Log may actually record network log on and log off events, interactive log on and log off events, initial network connections to a share, or disconnects from the share.

Although these events may be identical at the summary level in the Security Log, the details screen makes some distinctions among them.

The connection events are Logon Type 3, which indicates a network log on event. A successful Net Use or File Manager connection or a successful directed Net View to a Windows NT share generates Event ID 528, a successful log on event of Logon Type 3. An event is only generated by the initial connection from a particular user. Subsequent Net Views or Net Uses from the same user to the same computer do not generate any additional events unless the user has disconnected (or has been autodisconnected) from all shares.

See the Audit Category Help file (auditcat.hlp) in the Windows NT 3.51 Resource Kit or otherwise in Windows NT Server and Workstation 4.0 Resource Kits for more information on audit event records.

Ik hoop dat je er wat aan hebt

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

dinsdag 5 september 2006 14:38

Acties:

Verwijderd

Hallo,

Ik weet dat het niet de bedoeling is om verder te gaan met oud topic, toch probeer ik het.

Ik vond de laatste tijd onze server erg traag worden het gaat om windows 2003 server na het bekijken van de log files kwam ik op security blad, hier stonden 380.000 events!!!!!.. met alleen de boven genoemde meldingen.

Dit is iets van de laaste tijd als ik de datums bekijk. Er gebeuren soms wel meer dan 5000!!! sercurity events op een dag, systematisch met de zelfde event id.

Dit lijkt mij niet erg kloppen alleen ik weet niet waar het aan ligt, hopelijk kunnen jullie mij verder op weg helpen....

Misschien wat ook handig om te vermelden is dat de events alleen voorkomen bij users: ANOMYNOUS USER en SYSTEM

gr.

[ Voor 8% gewijzigd door Verwijderd op 05-09-2006 14:42 ]

dinsdag 5 september 2006 14:48

Acties:

Verwijderd

tja het ligt aan hoeveel users etc je hebt. 5000 per dag vind ik nu niet echt veel.

bijv. ik kwam er pas achter dat een user die sql enterprise manager open heeft en een server daarin gemapt heeft staan (zonder deze te gebruiken) elke 15 mins ongeveer 10 meldingen genereert. Waarschijnlijk omdat de enterprise manager een soort poll doet en weer disconnect... maar reken maar uit. 8uur/15mins * 10 event= 320 events van 1 user per dag, die het zelf niet eens doorheeft.

verder wordt je machine niet traag van security logging, het kan hooguit aangeven dat de machine druk bezocht wordt

[ Voor 75% gewijzigd door Verwijderd op 05-09-2006 14:53 ]

dinsdag 5 september 2006 14:56

Acties:

Verwijderd

Verwijderd schreef op dinsdag 05 september 2006 @ 14:48:
tja het ligt aan hoeveel users etc je hebt. 5000 per dag vind ik nu niet echt veel.

10 users heb ik... Alleen het probleem doet zich alleen maar voor als user: Anomynous en System... okee ik zie de "normale" gebruikers er ook wel eens tussen staan alleen niet in zo'n grote regelmaat als Anomynous en System het lijkt wel alsof ze in 1 of andere loop zitten.

ik heb ff een screenshot gemaakt, let maar eens op tijden wanneer dit voorkomt.

Afbeeldingslocatie: http://www.vantzand.nl/voorbeeld.jpg

Afbeeldingslocatie: http://www.vantzand.nl/voorbeeld.jpg

zaterdag 13 januari 2007 13:44

Acties:

GaveGozer

That's Me

Hier heb ik hetzelfde probleem, en sterker nog er zijn op deze server nog niet eens GEBRUIKERS aangemaakt... Ik ben de server aan het inrichten en NU verschijnen deze meldingen al. Soms wel 25x per seconde!

Wat is er aan te doen?

Ik was hier en ai 't nie geleuf dan maak ik ow so wat anders wies!

zaterdag 13 januari 2007 17:34

Acties:

alt-92

ye olde farte

2003 security eventlogger logt enorm veel, by default.
Aan jou de taak als beheerder om dat uit te filteren naar wat je daadwerkelijk wil zien, en uit te zoeken wat wat is (dus: welke meldingen zijn wel en niet belangrijk).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 15 januari 2007 17:11

Acties:

GaveGozer

That's Me

Ja dat je deze info kunt filteren is me bekend, maar kun je niet ergens aangeven dat hij dit allemaal niet meer hoeft te loggen? Scheelt performance (nihil), maar zeker ook HD ruimte.

Ik was hier en ai 't nie geleuf dan maak ik ow so wat anders wies!

donderdag 25 januari 2007 16:47

Acties:

GaveGozer

That's Me

Niemand een idee?

Ik was hier en ai 't nie geleuf dan maak ik ow so wat anders wies!