Мы недавно начали регистрировать 4 624 идентификатора события в наши контроллеры домена, чтобы помочь отследить пользовательское действие. В целом это было прекрасно, но недавно начало получать эти сообщения много раз.
20 февраля 0:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing [536]: 20.02.2015 0:00:52 c01.domain.com AUDIT_SUCCESS 4624 [Описание для EventID 4624 из источника Microsoft-Windows-Security-Auditing не может быть найдено: издатель был отключен, и его ресурс не доступен. Это обычно происходит, когда издатель находится в процессе того, чтобы быть удаленным или обновлен.
Я знаю, что наша команда операции в секунду недавно обновила серверы, но она все еще происходит, и я не нашел много ссылок на то, как остановить это. Кто-либо еще столкнулся с этими журналами?Спасибо.
Событие 4624 - это уведомление об успешном входе в учетную запись.
Что касается сообщения об ошибке об отключении издателя, это ошибка, которую Microsoft предоставила исправление для здесь . Очевидно, это ошибка Центра обновления Windows - группа читателей журнала событий потеряла разрешение на регистрацию.
Для C&P из инструкций «позвольте мне исправить это самостоятельно» (в случае гниения ссылки):
(Они также включают стандартные заявления об отказе от ответственности о редактировании реестра, которые я здесь передаю.)