我的 Windows 服务器充斥着事件 ID 5447!

我的 Windows 服务器充斥着事件 ID 5447!

我不知道是什么导致了此事件。每两分钟我都会收到 100 条这样的日志,这消耗了我的带宽。

MSWinEventLog:WindowsServer2012R2Standard 0 安全 2686990 2016 年 3 月 16 日星期三 23:48:24 EDT 5447 Microsoft-Windows-Security-Auditing
未知 未知信息

###### 其他策略变更事件信息审核成功 Windows 过滤平台过滤器已更改。

主题:安全 ID:NT AUTHORITY\LOCAL SERVICE 帐户名称:NT AUTHORITY\LOCAL SERVICE 进程信息:进程 ID:1120 提供程序信息:ID:{DECC16CA-3F33-4346-BE1E-8FB4AE0F3D62} 名称:Microsoft Corporation 更改信息:更改类型:删除

过滤器信息:ID:{D579C047-5927-49E6-BF80-FC8DC1C61275} 名称:连接代理服务 (RPC-EPMAP) 类型:非持久性 运行时 ID:294386 层信息:ID:{A3B42C97-9F04-4672-B87E-CEE9C483257F} 名称:ALE 接收/接受 v6 层 运行时 ID:46 调出信息:ID:{00000000-0000-0000-0000-000000000000} 名称:- 附加信息:权重:10376540038224674816 条件:条件 ID:{d78e1e87-8644-4ea5-9437-d809ecefc971} 匹配值:等于条件值:00000000 5c 00 64 00 65 00 76 00-69 00 63 00 65 00 5c 00 .device. 00000010 68 00 61 00 72 00 64 00-64 00 69 00 73 00 6b 00 harddisk 00000020 76 00 6f 00 6c 00 75 00-6d 00 65 00 32 00 5c 00 volume2.. 00000030 77 00 69 00 6e 00 64 00-6f 00 77 00 73 00 5c 00 windows. 00000040 73 00 79 00 73 00 74 00-65 00 6d 00 33 00 32 00 系统3.2。 00000050 5c 00 74 00 73 00 73 00-64 00 69 00 73 00 2e 00 .tssdis.. 00000060 65 00 78 00 65 00 00 00 exe.. 条件 ID:{af043a0a-b34d-4f86-979c-c90371af6e66} 匹配值:等于 条件值:O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080) 条件 ID: {0c1ba1af-5765-453f-af22-a8f791ac775b} 匹配值:等于条件值:0x0251 条件 ID:{3971ef2b-623e-4f9a-8cb1-6e79b806b9a7} 匹配值:等于条件值:0x06 过滤器操作:允许 66957945

1)是什么导致了这些日志消息?

2)如何防止它们消耗带宽?

最后但同样重要的是,数字“2686990”是什么意思

MSWinEventLog:WindowsServer2012R2Standard 0 安全 2686990 2016 年 3 月 16 日星期三 23:48:24 EDT 5447 Microsoft-Windows-Security-Auditing

答案1

您指的是什么带宽?事件日志不会占用带宽,而且每 2 分钟 100 条日志并不算我所说的“泛滥” 1

您的事件日志以盲目方式粘贴到问题中,实际上无法阅读。尝试再次发布它,但这次要code格式化,它应该会保持一些可读性。

您需要做的第一件事是找出哪个进程有 PID 1120。这将告诉您是什么产生了这些事件。根据您的评论,这似乎是MPSSVC,即 Windows 防火墙。

其次,我们知道它正在执行某种delete操作,由规则或过滤器触发RPC-EPMAP(似乎是 Windows RPC 框架的一部分)。

这确实是我从您所发布的内容中所能了解到的全部信息,不幸的是,尽管我非常擅长解释大量未格式化的文本,但这个却逃避了我的尝试。

1不管怎样,我只有一个事件日志在 60 秒内接收到 60,000 个事件。我认为被淹没了。

答案2

这些是防火墙日志条目,如果您确定这不是正在进行的攻击,请尝试禁用防火墙选项:“其他策略更改事件”。

5447 - Windows 筛选平台筛选器已更改。TechNet:https://technet.microsoft.com/en-us/en-en/library/dd772640(v=ws.10).aspx

相关内容