Domeincontroller logging

Ik probeer inzicht te krijgen in logging en in het bijzonder in het loggen van een domaincontroller.
Op het 1e zicht lijkt alles wat overweldigend dus besloot ik om logging compleet uit te schakelen.
En zo 1 voor 1 de verschillende onderdelen in te schakelen.

Als ik het goed begrijp zijn er verschillende logging opties.
Allereerst kan het controlebeleid aangepast worden via groepsbeleidsbeheer.
De instellingen hier worden automatisch ook toegepast op de andere windows-based machines in het netwerk.

Daarnaast is er het lokaal controlebeleid.
De instellingen hiervan zijn alleen van kracht op de domeincontroller zelf.

Dan heb je ook nog de auditpol tool waar je via command line instellingen kunt maken.
Het voordeel van deze tool is dat hier het controlebeleid van de subcategoriën kan worden aangepast.
Ik veronderstel dat de instellingen hier niet werken op domein niveau?

Dus ik heb alle 3 deze zaken uitgeschakeld en raad de Windows-logboeken.
Wat blijkt, er worden nog steeds een hoop events gegenereerd.
Waar komen deze events dan precies vandaan?

Welke events?

De events die terug te vinden zijn in de windows logboeken.
Onder andere van Toepassing, Beveiliging, Setup, Systeem etc.

Het gaat over een Windows Server 2008 R2.
Ivm die taalinstellingen heb ik al veel zitten vloeken maar deze was al geïnstalleerd.
Ik wil precies weten welke handelingen welke logs genereren.
En als mijn eventlog flooded is met logs geraak ik daar niet aan uit.

De logs van die 2008 Server worden afgehaald door een log collector via WMI.
Dus in default policy staat mijn logging compleet af, lokaal controlebeleid staat ook alles default af.

Nu heb ik via auditpol de subcategorieën ingesteld en deze blijken wel toegepast te zijn op mijn domaincontroller maar niet op de onderliggende clients.

Razwer schreef op donderdag 11 april 2013 @ 16:24:
wat wil je precies zien in je logging dan?

Zaken als remote connections die 10x misslukken, firewall die wordt afgezet, nieuwe gebruikersaccount aangemaakt, services die worden toegepast etc.
Deze zaken worden wel gelogged maar zijn te moeilijk terug te vinden.
Situatie is: er worden 5000 logs gegenereerd waarvan er 20 zijn die "nuttig" zijn.

Ik zit met volgend probleem in mijn event log.
Mijn eventlog wordt overspoeld door 2 events:
1) An account was logged off (Event id: 4634)
2) An account was succesfully logged on (Event id: 4624)

Deze events worden 24/7 gegenereerd.


Velen ondervinden hier last van.
Ondermeer in deze thread http://social.technet.mic...9-4b0c-a2b9-e27c90bb4541/ onvervindt de peroon hetzelfde probleem als mij.

Iemand die hier een oplossing voor heeft?
Mijn netwerk bestaat uit een vijftal clients dus het is onmogelijk dat deze zoveel events genereren.

Razwer schreef op vrijdag 12 april 2013 @ 13:02:
hoezo is dat onmogelijk? elke resource die aangeraakt word (share, printer etc) krijgt zo'n melding.
je moet niet zo eigenwijs doen en neem gewoon de juiste tooling voor de juiste klus ipv default spul wat niet voor niets zo is gezet by design aan te willen passen in een bedrijfs omgeving.

Voor alle duidelijkheid.
Ik werk 100% op een TEST-netwerk.
Dit is een basic netwerk met 4 client PC's en de nodige servers.
Als ik de logs van 4h 's nachts bijvoorbeeld bekijk:



Mij lijkt het eerder alsof er iets misconfigured is dan dit de normale gang van zaken is?