Søg
Avatar billede sysop Juniormester
24. august 2008 - 10:24 Der er 12 kommentarer og
1 løsning

Spørgsmål til handlinger i event viewer.

Jeg har lige opsat en sbs2003 server. Alt kører fint. Dog bliver min event viewer/security konstant fuldt med følgende:
------------------------------------------------
Event Type:    Success Audit
Event Source:    Security
Event Category:    Logon/Logoff
Event ID:    540
Date:        24-08-2008
Time:        09:33:09
User:        NT AUTHORITY\SYSTEM
Computer:    SERVER
Description:
Successful Network Logon:
    User Name:    SERVER$
    Domain:        XXX
    Logon ID:        (0x0,0x1D1XXXXX)
    Logon Type:    3
    Logon Process:    Kerberos
    Authentication Package:    Kerberos
    Workstation Name:   
    Logon GUID:    {8889e6a5-4f9b-148a-c453-XXXXX}
    Caller User Name:    -
    Caller Domain:    -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address:    192.168.1.2
    Source Port:    43497

-------------------------------
Event Type:    Success Audit
Event Source:    Security
Event Category:    Logon/Logoff
Event ID:    576
Date:        24-08-2008
Time:        09:33:22
User:        XXX\user
Computer:    SERVER
Description:
Special privileges assigned to new logon:
    User Name:    XXX
    Domain:        XXX
    Logon ID:        (0x0,0x1D16A1E0)
    Privileges:    SeSecurityPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeTakeOwnershipPrivilege
            SeDebugPrivilege
            SeSystemEnvironmentPrivilege
            SeLoadDriverPrivilege
            SeImpersonatePrivilege
            SeEnableDelegationPrivilege

-----
Disse 2 handlinger kører konstant.
HVad går galt?
Avatar billede riversen Nybegynder
24. august 2008 - 10:32 #1
og du mener ikke det skyldes logon/logoff events på domænet? At en bruger logger på sin pc som er medlem af domænet?
Avatar billede leif Seniormester
24. august 2008 - 10:38 #2
Nu er Event Viewer jo ikke kun fejl, men også andre beskeder fra systemet
Avatar billede sysop Juniormester
24. august 2008 - 10:42 #3
Nej det er konstant flere gange inden for hvert minut. Nu er der eks.vis ingen på arbejde og det kører alligevel.

Den viser det ikke som fejl, men vil absolut mene der er noget galt når det kører sådan.
Avatar billede leif Seniormester
24. august 2008 - 10:50 #4
Hvad er UserName i den sidste du viser ?
Avatar billede sysop Juniormester
24. august 2008 - 10:52 #5
mit eget navn. HVorfor?
Avatar billede sysop Juniormester
24. august 2008 - 10:54 #6
Nej det var løgn. Det er servernavnet.
Avatar billede bufferzone Praktikant
24. august 2008 - 12:52 #7
Hvis du er i tvivl om events i event vieweren kan du altid tage udgangspunkt i event ID ogsøge på den. Herunder har jeg fundet event ID 576 til dig der giver svar på hvad og hvorfor. Søg selv på ID 540 (med Google)

http://www.ultimatewindowssecurity.com/securitylog/Event.aspx?EventID=576

Senere når du begynder at blive dus med disse ID'ere kan du begynde at kikke på security tempmplates, og group polecies og sætte din logging (auditing) op så du kun ser det interessante. Kik evt også på værktøjet Microsoft Logparser der er gratis ogg enialt dil at parse logfiler med. Du bør ikke blive afskrækket af at det er et kommanolinie værktøj, det er ret let at bruge
Avatar billede sysop Juniormester
24. august 2008 - 14:10 #8
Hej Bufferzone. Som jeg læser dit svar og på de link du har sendt, er dette en normal procedure som sker konstant, der blot bliver logget i dette tilfælde?!?!?

Syntes bare der er ekstremt når der intet aktivitet er på serveren (af brugere), eller hva?!
Avatar billede bufferzone Praktikant
24. august 2008 - 16:53 #9
Deter umuligt at sige noget om når man ikke kender det normalt flow. Du bør gøre det at du holder øje med din event log (jeg kigger selv min security log igennem hver morgen) jævnligt for at danne dig et billede af hvad der er normalt, hvor ofte events sker, hvad dine brugere gør. Dette normal billede vil gøre det muligt for dig at opdage når der sker noget der ikke skal
Avatar billede sysop Juniormester
24. august 2008 - 19:11 #10
bufferzone, kan dette skyldes ubudne gæster eller er det forholdsvis normal aktivitet? Kan se det sker hver dag.
Avatar billede serverservice Praktikant
24. august 2008 - 19:33 #11
Nu håber jeg ikke vi bliver for mange kokke , men jeg er enig med de andre i at det er en normal besked som følge af login/logoff til domænet.
Det er vel normal procedure at logge ud fra en pc når man forlader den - det er det f.x på en skole hvor jeg også arbejder og så får du temmelig mange events fordi den sikkert både logger logins og logoff.
I fremtiden skal du prioritere fejl med rødt skilt i systemloggen - det er de "slemme drenge" for serveren. En god hjælp er at søge dem på eventid.net  eller google - så får du et hint til hvad kan være galt. Application loggen kan du bruge til at fejlsøge software og services for fejl.
Jeg vil lige se på det tip fra Bufferzone - det lyder som guf for en itadmin - vi snakkes - pas på edbshoppen.dk
Avatar billede bufferzone Praktikant
24. august 2008 - 19:33 #12
begge dele. En hacker vil hurtigst muligt forsøge at få fat i lovlige konti så han kan bevæge sig på nettet uden at skulle bruge ulovlige metoder der jo er lette at opdage.

I dit tilfælde ville jeg forvente at det er normal events vi har fat i når der ikke er andre ting der indikerer at du skulle være hacket, men hold øje med det og se om det fortsætter
Avatar billede sysop Juniormester
10. september 2008 - 07:27 #13
Kan se på den gamle server det faktisk også har foregået på den. Det fortsætter stadig men går udfra det er normale handlinger. Tak for svar.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel Indlæg Oprettet Seneste aktivitet
Mærkeligt ikon på proceslinjen Af ErikHg i Windows 1 11/05/202618:27 11/05/202620:12
slet windows Af jajoh i Windows 2 10/05/202610:08 10/05/202611:05
Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows 13 07/05/202611:06 08/05/202615:05
Mister internettet efter slumre, Af valby i Windows 19 06/05/202610:01 12/05/202622:24
Download Win 11 - 25H2 Af ErikHg i Windows 15 02/05/202619:09 03/05/202623:05
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 18:09 Outlook Classic, lukker ikke Af mort1 i E-mail programmer
I går 20:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
I går 18:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
White papers
Flere white papers »