我们最近开始在域控制器上记录 4624 个事件 ID,以帮助跟踪用户活动。总体来说,这没什么问题,但最近开始反复收到这些消息。
2 月 20 日 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [无法找到来自源 Microsoft-Windows-Security-Auditing 的 EventID 4624 的描述:发布者已被禁用,其资源不可用。这通常发生在发布者正在卸载或升级时。
我知道我们的 OP 团队最近更新了服务器,但这种情况仍然会发生,而且我找不到太多关于如何阻止这种情况的参考资料。还有其他人遇到过这些日志吗?谢谢。
答案1
事件 4624 是帐户已成功登录的通知。
至于有关发布者被禁用的错误消息,这是微软已提供修复的错误这里。这显然是 Windows 更新的错误——事件日志读取器组丢失了注册表权限。
对于“让我自己修复”说明中的 C&P(以防链接失效):
- 打开注册表编辑器。为此,请单击“开始”,在“开始搜索”框中键入 regedit,然后按 Enter。
- 找到并单击以下注册表项:
- HKEY_LOCAL_MACHINES\System\CurrentControlSet\services\eventlog\Security\Microsoft-Windows-Security-Auditing
- 在左窗格中右键单击“Microsoft-Windows-Security-Auditing”,然后单击“权限...”。
- 单击权限对话框中的添加...按钮。
- 在输入要选择的对象名称框中,键入事件日志读取器,然后单击检查名称按钮。
- 单击“确定”关闭所有对话框窗口。
(它们还包括有关编辑注册表的标准免责声明,我在这里传递这些免责声明。)