Windows Event ID 4624 Repeating With Resource Not Available
Мы недавно начали регистрировать 4 624 идентификатора события в наши контроллеры домена, чтобы помочь отследить пользовательское действие. В целом это было прекрасно, но недавно начало получать эти сообщения много раз.
20 февраля 0:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing [536]: 20.02.2015 0:00:52 c01.domain.com AUDIT_SUCCESS 4624 [Описание для EventID 4624 из источника Microsoft-Windows-Security-Auditing не может быть найдено: издатель был отключен, и его ресурс не доступен. Это обычно происходит, когда издатель находится в процессе того, чтобы быть удаленным или обновлен.
Я знаю, что наша команда операции в секунду недавно обновила серверы, но она все еще происходит, и я не нашел много ссылок на то, как остановить это. Кто-либо еще столкнулся с этими журналами?Спасибо.
Событие 4624 - это уведомление об успешном входе в учетную запись.
Что касается сообщения об ошибке об отключении издателя, это ошибка, которую Microsoft предоставила исправление для здесь . Очевидно, это ошибка Центра обновления Windows - группа читателей журнала событий потеряла разрешение на регистрацию.
Для C&P из инструкций «позвольте мне исправить это самостоятельно» (в случае гниения ссылки):
- Открыть редактор реестра . Для этого нажмите кнопку «Пуск», введите regedit в поле «Начать поиск» и нажмите клавишу ВВОД.
- Найдите и щелкните следующие разделы реестра:
- HKEY_LOCAL_MACHINES \ System \ CurrentControlSet \ services \ eventlog \ Security \ Microsoft-Windows -Security-Auditing
- Щелкните правой кнопкой мыши Microsoft-Windows-Security-Auditing на левой панели, а затем щелкните Разрешения…
- Нажмите кнопку Добавить… в диалоговом окне разрешений.
- В поле Введите имена объектов для выберите поле, введите «Читатели журнала событий» и нажмите кнопку «Проверить имена».
- Нажмите OK, чтобы закрыть все диалоговые окна.
(Они также включают стандартные заявления об отказе от ответственности о редактировании реестра, которые я здесь передаю.)