Мне поручено отслеживать и анализировать различные журналы с помощью нашего решения SIEM; LogRhythm.
Несколько недель назад я заметил, что у нас были большие объемы этого события, исходящего от всех наших контроллеров домена. Данные журнала следующие:
EventID: 521
Event Data: unable to log events to the security log
Status code: 0x80000005
Value of CrashonAuditFail: 0
Number of failed audits: 1
Я убедился, что у всех контроллеров домена достаточно дискового пространства для записи в журнал, и что журналы настроены на перезапись в первую очередь самых старых журналов. Серверы были сброшены в течение последних нескольких дней, но проблема остается.
Я прочитал несколько предложений о переименовании события безопасности и перезапуске компьютера, чтобы был создан новый файл события, но я не могу поверить, что файл события был поврежден на всех контроллерах домена.
Также стоит отметить, что все затронутые контроллеры домена фактически записывают другие события в журнал событий безопасности!
Мы получаем ~ 61,34 тысячи таких событий в день.
Любые указатели будут высоко оценены.
Код состояния 0x80000005 в описании события означает «доступ запрещен». Таким образом, возможно, что какое-то приложение пытается записывать события в журнал безопасности, но у него нет необходимых разрешений (дополнительные сведения об ошибке «Доступ запрещен» см. http://www.eventid.net/errorsdisplay.asp?error_code=5 - иногда сообщение обманчиво). Поврежденный журнал вызовет код состояния 0xc0000008 (Недействительный дескриптор), поэтому я не думаю, что здесь дело обстоит именно так.
Основываясь на количестве событий, которые вы упомянули, и предполагая, что 19 контроллеров домена имеют одинаковое количество записанных событий, похоже, что это событие записывается каждые 30 секунд? Вы можете это проверить? Если это не так, какова частота события 521?