none
域控中出现大量审核日志 RRS feed

全部回复

  • 你好,

    根据我的研究,创建登录会话时,会在被访问的计算机上生成事件4624,而NULL SID是Windows Server 2008及更高版本操作系统上的设计行为,我们可以放心地忽略它。

    网络信息字段为空可能是由于Kerberos协议在网络访问过程中不需要工作站信息。 在我看来,在类型3登录过程中,Kerberos只需要用户凭据,我们从哪个机器访问资源并不重要。

    以下是相关文章供您参考:

    说明事件4624

    http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

    请注意:由于该网站不是由微软托管,链接可能会改变,恕不另行通知。 Microsoft不保证此信息的准确性。


    Best Regards,
    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2017年12月25日 8:37
    版主
  • 你好,

    我这里提供一些额外的建议。

    通常来说,审核日志中主题中的安全ID NULL SID不是我们关注的重点。


    登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8

    这些登陆审核日志是在开启了相应的审核设置之后才会出现的,一旦有登陆触发了这些审核策略,日志就会出现。这些日志只是information级别,一般情况下,不需要我们去处理。如果不需要这些审核日志产生的话,可以按照以下的方法来关掉。

    组策略的设置路径为:

    Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

    Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration

    详细步骤参考以下文档:

    http://www.morgantechspace.com/2013/10/enable-active-directory-logonlogoff.html

    请注意:由于该网站不是由微软托管,链接可能会改变,恕不另行通知。 Microsoft不保证此信息的准确性。

    Best Regards,
    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月28日 6:11
    版主
  • 你好,

    请问回复的信息对你有用么?如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月29日 7:20
    版主
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月2日 7:45
    版主
  • 谢谢您的回复,有您这么一说,这下就放心了。
    2018年1月13日 8:31
  • 你好,

    请把有用的回复标记为答案。

    感谢你的支持与理解。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月15日 9:24
    版主