我的任务是通过我们的 SIEM 解决方案 LogRhythm 监控和分析各种日志。
几周前我注意到,我们所有的域控制器都出现了大量此类事件。日志数据如下:
EventID: 521
Event Data: unable to log events to the security log
Status code: 0x80000005
Value of CrashonAuditFail: 0
Number of failed audits: 1
我已确保所有域控制器都有足够的磁盘空间来写入日志,并且日志配置为首先覆盖最旧的日志。过去几天服务器已恢复,但问题仍然存在。
我已阅读一些有关重命名安全事件并重新启动机器以便创建新的事件文件的建议,但我不敢相信该事件文件在所有域控制器上都已损坏。
还值得注意的是,所有受影响的域控制器实际上都在将其他事件写入安全事件日志!
我们每天会收到大约 61.34k 个此类事件。
如能提供任何指点我将不胜感激。
答案1
事件描述中的 0x80000005 状态代码表示“拒绝访问”。因此,某些应用程序可能试图在安全日志中记录事件,但它没有所需的权限(有关“拒绝访问”错误的更多原因,请参阅http://www.eventid.net/errorsdisplay.asp?error_code=5- 有时消息是具有欺骗性的)。损坏的日志会导致状态代码 0xc0000008(无效句柄),所以我不认为这里的情况是这样的。
根据您提到的事件数量,并假设 19 个 DC 记录的事件数量相似,似乎每 30 秒记录一次此事件?您能验证一下吗?如果不是这样,521 个事件的频率是多少?