WinXp SP2 - переполнение журнала безопасности (?) - Операционные системы M$

PL_666_ · 07.08.2005, 23:57

Привет всем. В общем есть такая проблема.

Есть доменная сеть состоящая из 60-70 ПК.
Все компы одинаковые:
3 Ггерца пень 4
512 РАМы
100 мбит сеть
Винда ХР СП2
Все компы заливались с одного образа и вот 2 компа начинают хулиганить, при попытке пользователя зайти под своим логином, выдаётся сообщение " журнал безопасности переполнен и бла бла бла", приходится заходить под Администратором и вручную его чистить.
Первый комп переполняется каждые 2 дня.
Второй - 5-7 дней.
У всех пользователей права продвинутых пользователей.

Что это может быть и как избежать этого переполнение?

Korvin · 08.08.2005, 00:48

По моему речь идет о переполнении файла рут:\WINDOWS\System32\config\SecEvent.Evt
Посмотри в Administrativ Tools/Event Viewer/Security -> Action-Properties-Overwrite events as needed

PL_666_ · 08.08.2005, 09:24

Korvin, да это именно оно... Я его и так нашёл ещё давно, меня интересует больше причина переполнения, а со следствием уже научился боротся... + и отключать этог тоже умею... Сам факт переполнения интересует..

pazdak · 08.08.2005, 09:39

PL_666_
Так и должно быть !!!
Ты наверное аудит включил для компов? Вот только зачем?
Домен говоришь есть? Так там скорее всего и накосячил с назначением аудита в GPO.
Аудит достаточно выставить на серверах и контролерах домена.

PL_666_ · 08.08.2005, 10:04

pazdak
Я к домену вообще не претрагивался. А все ПК заливались с ОДНОГО образа!!! И только 2 ПК переполняются. Аудит включён на всех компах по умолчанию.

pazdak · 08.08.2005, 12:42

Цитата:

Аудит включён на всех компах по умолчанию.

Это что значит по умолчанию?
Аудит то может и включен, но он ничего не пишет, пока ты не скажешь, что тебе нужно отслеживать, поэтому копать нужно именно в сторону настроек аудита !!!
Для начала проверь на какие объекты установлена "Политика Аудита"

(200)

07.08.2005, 23:57	# 1
PL_666_ Junior Member Регистрация: 28.02.2003 Сообщения: 103	WinXp SP2 - переполнение журнала безопасности (?) Привет всем. В общем есть такая проблема. Есть доменная сеть состоящая из 60-70 ПК. Все компы одинаковые: 3 Ггерца пень 4 512 РАМы 100 мбит сеть Винда ХР СП2 Все компы заливались с одного образа и вот 2 компа начинают хулиганить, при попытке пользователя зайти под своим логином, выдаётся сообщение " журнал безопасности переполнен и бла бла бла", приходится заходить под Администратором и вручную его чистить. Первый комп переполняется каждые 2 дня. Второй - 5-7 дней. У всех пользователей права продвинутых пользователей. Что это может быть и как избежать этого переполнение? __________________ Не стремайся, браток...

08.08.2005, 09:24	# 3
PL_666_ Junior Member Регистрация: 28.02.2003 Сообщения: 103	Korvin, да это именно оно... Я его и так нашёл ещё давно, меня интересует больше причина переполнения, а со следствием уже научился боротся... + и отключать этог тоже умею... Сам факт переполнения интересует.. __________________ Не стремайся, браток...

08.08.2005, 10:04	# 5
PL_666_ Junior Member Регистрация: 28.02.2003 Сообщения: 103	pazdak Я к домену вообще не претрагивался. А все ПК заливались с ОДНОГО образа!!! И только 2 ПК переполняются. Аудит включён на всех компах по умолчанию. __________________ Не стремайся, браток...

08.08.2005, 00:48	# 2
Korvin ::VIP:: с яйцами Регистрация: 03.03.2003 Адрес: Деревня бедняков Пол: Male Сообщения: 753	По моему речь идет о переполнении файла рут:\WINDOWS\System32\config\SecEvent.Evt Посмотри в Administrativ Tools/Event Viewer/Security -> Action-Properties-Overwrite events as needed

08.08.2005, 09:39	# 4
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	PL_666_ Так и должно быть !!! Ты наверное аудит включил для компов? Вот только зачем? Домен говоришь есть? Так там скорее всего и накосячил с назначением аудита в GPO. Аудит достаточно выставить на серверах и контролерах домена.