我有一个SQL服务器是运行Windows 2008 R2的域成员。 它是故障转移群集中的群集节点。 安全事件日志正在充斥着这些:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/17/2012 8:30:19 AM Event ID: 4793 Task Category: Other Account Management Events Level: Information Keywords: Audit Success User: N/A Computer: SqlServer01.domain.com Description: The Password Policy Checking API was called. Subject: Security ID: DOMAIN\ClusterServiceAccount Account Name: ClusterServiceAccount Account Domain: Domain Logon ID: 0xaaaaa Additional Information: Caller Workstation: SqlServer01 Provided Account Name (unauthenticated): - Status Code: 0x0 当我说“被淹没”的时候,我的意思是大约有20个这样的事件每秒都会被logging到安全日志中,这意味着安全日志在很大程度上是无用的,因为它在一个小时内就完成了这些事件,没有其他的余地。
我确实发现了这个关于它的Technet文章 ,它给了我一个关于如何将日志loggingclosures的线索,而不是简单地closures日志logging,我真的很想知道到底是什么造成的,为什么这样做,以及如何使其停止调用密码策略检查API。
回答我自己的问题。 如果您的某些服务帐户非常快速地访问数据库,并且在这些帐户上选中了“强制密码策略”,则SQL将非常迅速地调用Windows API。 您可以停止该行为,也可以通过GPO或本地安全策略停止对其的logging。 我select通过取消某些关键的SQL服务帐户login上的“强制密码策略”选项来停止此行为,并且可以确认我的Windows安全事件日志再次处于控制之下。