我正在修改我们当前的Windows日志设置,并遇到了一个我似乎无法find答案的问题。 我们目前在每个DC上都configuration了nxlog,将Windows事件ID 4624和4625发送到中央日志服务器,以获取基本的用户login信息,包括成功和失败。 nxlog的configuration工作得很好,但我的问题是过度的login事件。
在testingconfiguration时,我使用我的域凭据login了几台不同的机器。 在每次testing中,每次login我都会收到10 – 70 4624个事件。 他们都是“微软Windows安全审计[524]:一个帐户已成功login。logintypes:3”types的日志,并始终来自同一个DC。
下面是一个基本上一遍又一遍重复的日志示例。
Dec 17 13:02:57 dc1.domain.com Microsoft-Windows-Security-Auditing [536]:帐户已成功login。 主题:安全ID:________帐户名称: –
帐户域: – loginID:0x0logintypes:3新login:安全ID:__________帐户名称:my_user_name
帐户域:my_domainloginID:__________loginGUID:
{_________}进程信息:进程ID:0x0进程名称: – networking信息:
工作站名称:源networking地址:192.168.1.10源端口:61371
我想告诉我,X用户正在login,但我只需要每个login中的1个条目,而不是多个。
任何帮助将不胜感激。
谢谢,埃里克