我正在修改我们当前的 Windows 日志设置,遇到了一个问题,我似乎找不到答案。我们目前在每个 DC 上配置了 nxlog,以将 Windows 事件 ID 4624 和 4625 发送到中央日志服务器,以获取基本用户登录信息(成功和失败)。nxlog 配置工作正常,但我遇到的问题是登录事件过多。
在测试配置时,我使用域凭据登录了几台不同的计算机。在每次测试中,每次登录我都会收到 10 - 70 4624 个事件。它们都是“Microsoft-Windows-Security-Auditing[524]:帐户已成功登录。登录类型:3”类型的日志,并且始终来自同一 DC。
下面是一个基本上一遍又一遍重复的日志示例。
12 月 17 日 13:02:57 dc1.domain.com Microsoft-Windows-Security-Auditing[536]: 帐户已成功登录。 主题: 安全 ID:________ 帐户名称:-
帐户域:- 登录 ID:0x0 登录类型:3 新登录: 安全 ID:__________ 帐户名称:my_user_name
帐户域:my_domain 登录 ID:__________ 登录 GUID:
{_________} 进程信息: 进程 ID:0x0 进程名称:- 网络信息:
工作站名称: 源网络地址:192.168.1.10 源端口:61371
我希望它告诉我 X 用户正在登录,但每次登录只需要 1 个条目,而不需要多个。
任何帮助将不胜感激。
谢谢,埃里克