none
windows svr 2k8 R2 安全日志 事件ID:5145 RRS feed

  • 问题

  • Windows server 2K8 R2 SP1 系统,建立了文件服务器,为大约150位用户提供文件服务,共享文件中建立了审核,审核对象为Everyone,开启策略中的“安全设置-本地策略-审核策略-审核对象访问(成功)”后,在安全日志中出现“事件 ID:5145 详细的文件共享”刷屏,平均80秒出现20000条以上的安全日志,其他日志完全无法有效存活,同时消耗了大量的服务器资源。

    求教如何关闭这类安全日志,或者有其他的配置方法。

    2017年5月23日 0:31

全部回复

  • 您好 佳哲

    >>在安全日志中出现“事件 ID:5145 详细的文件共享”刷屏,平均80秒出现20000条以上的安全日志,其他日志完全无法有效存活,同时消耗了大量的服务器资源

    您可以选择配置“失败”的事件日志,这样可以节省一些资源。

    Best Regards,

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年5月23日 3:10
    版主
  • 如果选择了“失败”的日志,那么“成功”进行了“文件服务器”上删除的操作将无法被正确在安全日志中记录下来,这样又有什么意义呢?

    这个配置的初衷是在于将文件服务器中一些删除的操作进行记录。

    2017年5月23日 14:12
  • 您好 佳哲

    >>为大约150位用户提供文件服务,共享文件中建立了审核,审核对象为Everyone

    当您建立审核对象为everyone设置策略成功,每一位用户在访问特定的文件的时候都会留下记录,无论成功还是失败。

    根据我们的经验,目前比较好的方案:

    1.一个是在策略中选择仅失败或者是仅成功来节省一些资源。

    2.如果在不修改策略情况下,建议您可以修改审核对象everyone为特定的人群,这样也可以大大缩小范围进而节省资源。

    3.在不修改策略以及对象的情况下,您可以写一个脚本命令定期去清理旧的记录。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年5月26日 6:30
    版主
  • 您好 佳哲

    目前问题有解决吗?

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年5月31日 8:15
    版主