[win2k3] Eventviewer op hol geslagen (security)

It's not a bug, it's a feature.

De logging in w2k3 staat gewoon erg scherp afgesteld.

Je zou de logging kunnen degraderen, tot wat er bij w2k was ofzo, maar waarom zou je.

Ga eens in je policy kijken bij Audit wat er extra aanstaat. Dat er veel events komen is bekend daarom staat de security default ook op 16mb. Als je de High security Template importeerd wordt dit zelfs naar 80mb verhoogd.

Verwijderd schreef op 18 november 2003 @ 08:34:
It's not a bug, it's a feature.

De logging in w2k3 staat gewoon erg scherp afgesteld.

Je zou de logging kunnen degraderen, tot wat er bij w2k was ofzo, maar waarom zou je.

Omdat er onderhand bijna een miljoen entries in staan en het een kwartier duurt om ze allemaal in te laden.

Iedere keer als je via Terminal Services inlogd (doe ik wel eens van mijn werk naar mijn thuisbak) worden er een stuk of 5 of 6 log entries gecreeerd in de EV.

Als een andere machine voor het eerst een verbinding legt naar de Windows 2003 machine om een gedeelde folder te benaderen komt er een log entry in. Windows "verliest" de verbinding met de server naar verloop van tijd (rood kruisje bij schijf), maar als je er weer op klikt kun je er zo weer op zonder inloggen.

Ook pogingen tot verbinden met de machine worden gelogged, dus als je geen hardware firewall (router of andere machine) hebt tussen jouw windows 2003 server en het internet, dan kunnen er wat zaken in je log terecht komen inderdaad.

Verder niet veel om je zorgen over te maken trouwens. Wees blij dat er wat gelogged wordt

Na een quicksearch via google op event id 540 zie ik als eerste link: http://www.experts-exchan..._Security/Q_20789247.html welke wel relevant lijkt ("Flooded with Event ID 538 and 540 in Security under event ").