几周前,我实施了一项计划任务,该任务在组织中的每个工作站和服务器上每 20 分钟执行一次。此任务在本地系统帐户下运行。
自此以后,我的所有系统生成的登录事件数量(4624 和 4634)大幅增加。这对我的 Splunk 许可来说是一个问题。
除了重写可执行文件外,此任务还会触发一个功能齐全的服务,还有其他方法可以改变此行为吗?我认为在本地机器上运行的具有本地权限的可执行文件不需要向域控制器进行身份验证。
答案1
似乎没有现成的方法可以消除这种日志记录,因此我围绕原始可执行文件的代码创建了一个小服务。