none
registro di protezione RRS feed

  • Domanda

  • Salve a tutti,

    nelle impostazioni del registro di Protezione sul DC (win 2003) ho impostato come dimensione massima 4000000 KB (ossia 4GB).

    Adesso è arrivato ad una dimensione di 425 MB e quando tento di fare il login mi dice "il registro di protezione di questo sistema è pieno".

    Qualcuno sa aiutarmi? Perchè si blocca già a 425MB ?

    Grazie

    giovedì 27 gennaio 2011 18:22

Risposte

Tutte le risposte

  • In effetti 4Gb dovrebbe essere proprio il massimo.

    http://technet.microsoft.com/en-us/library/cc776342(WS.10).aspx

    Prova con un valore leggermente inferiore.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Contrassegnato come risposta Anca Popa giovedì 3 febbraio 2011 09:00
    giovedì 27 gennaio 2011 19:31
  • Sinceramente avevo settato 1000000 KB poi vedendo che cancellava i record l'ho alzato a 2000000 KB, poi a 3000000 KB e ora infine a 4000000 KB.

    Ora ho provato a settare a 5000000 KB e mi ha detto che il massimo è 4194240 KB quindi l'ho lasciato cosi ma continua a cancellare.

    Se tento di ridurre le dimensioni mi dice che per ridurlo devo cancellare il registro e.... io non vorrei cancellarlo....

    Grazie

    giovedì 27 gennaio 2011 20:25
  • Non puoi semplicemente salvarlo, archiviarlo in qualche cartella o unità esterna e poi ripulirlo?

    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    giovedì 27 gennaio 2011 20:29
  • Si ma per sicurezza dovrei fare qualche script che me lo faccia minimo in automatico (perchè non sempre ho accesso al server). Avrei evitato e utilizzato le funzioni che mette a disposizione il sistema operativo che sicuramente funzionano meglio di qualche scriptino schedulato.

    Il problema anche se lo risolvessi così rimane, se il limite è 4GB, perchè deve fermarsi prima? O le specifiche sono errate, o il sistema operativo ha un bug...

    giovedì 27 gennaio 2011 20:50
  • forse hai attivato l'auditing per monitorare troppi eventi. hai verificato cosa viene loggato ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 28 gennaio 2011 07:07
    Moderatore
  • No, non ho verificato (devo ancora cercare una procedura, se hai un howto mi faresti un favore). Mi sono "bloccato" prima sul problema della dimensione visto che potrebbe registrare ancora tanti GB in più. Ora con 425MB ci sono circa 1 milione di righe....
    venerdì 28 gennaio 2011 15:54
  • L'unica cosa sensata che mi viene in mente è che ci sia una GPO (locale o di dominio) che imposta ANCHE le dimensioni del log di sicurezza.

    Del resto, la scelta di quali eventi mettere in audit, si fa sempre da policy.

    Lancia un GPRESULT sul DC e controlla se ci sono parametri per i security log.

    Qui per darti un'idea delle policy sul log size

    http://technet.microsoft.com/en-us/library/cc778402(WS.10).aspx


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    sabato 29 gennaio 2011 02:20
  • L'unica cosa sensata che mi viene in mente è che ci sia una GPO (locale o di dominio) che imposta ANCHE le dimensioni del log di sicurezza.

    cosa che mi sembra alquanto strana se fosse così.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 29 gennaio 2011 08:26
    Moderatore
  • Nella GPO non ci sono limiti, le variabili sono tutte "non settate".

    Nel documento che mi hai linkato ho trovato questo "Microsoft has verified that the practical size limit for all event logs combined is around 300 megabytes (MB) on most servers". Quindi se la traduzione (anche del resto dell'articolo non mi inganna), anche se ci sono settati 4GB a log, lui ne registra fino a 300MB per tutti i log (e caso strano io sono già molto oltre).

    Inoltre leggendo l'articolo mi è parso di capire che questi grossi log occupino anche memoria ram e lo si può notare guardando services.exe (infatti il mio occupa quasi 500MB). Quindi se ho capito bene se lo pulisco mi libero anche della RAM....

    Ho capito bene? Grazie

    PS: per limitare cosa viene loggato nel security cosa devo guardare? A me interessano solo i login/logout degli utenti

    sabato 29 gennaio 2011 08:41
  • PS: per limitare cosa viene loggato nel security cosa devo guardare? A me interessano solo i login/logout degli utenti


    tu ti sei limitato solo ad abilitare l'auditing o hai attivato anche l'auditing dettagliato di alcune risorse del tuo dominio ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 08:13
    Moderatore
  • Ciao, sinceramente non lo so perchè era un sistema che non ho installato io quindi direi che devo verificare entrambe.

    Sulle guide in rete ho capito come attivare il log per gli accessi ma poi non so se i logoff sarebbero anche inclusi o meno....

    grazie

    lunedì 31 gennaio 2011 08:15
  • L'articolo parla di un limite "pratico", ovvero olte una certa dimensione il log diventa poco gestibile.

    Mi sfugge una cosa : mi hai detto che le policy sono tutte non settate, cosa non possibile visto che almeno la parte audit devi averla impostata da qualche parte.

    Puoi fare una verifica, anche per rispondere ad Edoardo ?


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 31 gennaio 2011 09:30
  • Spiegatemi solo bene quali sono i pannelli che devo vedere.... putroppo non sono cosi esperto... grazie
    lunedì 31 gennaio 2011 20:21
  • Qui trovi le dimensioni del log di sicurezza (se definito da policy)

    GPO_name\Computer Configuration\Windows Settings\Security Settings\Event Log\

    Per vedere come sono impostati gli audit

    Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy

    In genere si controllano solo i logon events

    http://technet.microsoft.com/en-us/library/cc787268(WS.10).aspx#BKMK_2


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 1 febbraio 2011 09:06
  • Attualmente (ricordo che è il DC) sono impostate come l'allegato qui sotto.

    Io dovrei tenere traccia solo dei login/logout per il provvedimento del garante sugli amministratori di sistema ( ma a sto punto registro sia gli amministratori che gli utenti normali per semplicità).

    Mi sa che ho troppe cose abilitate vero? Quali mi consigliate lasciare?

    Grazie

     

    venerdì 4 febbraio 2011 09:56
  • ti basterebbe tenere attivate il "Controlla eventi accesso account"
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 4 febbraio 2011 10:28
    Moderatore
  • E sugli eventi account andrebbero controllate operazioni riuscite E non riuscite, per vedere se ci sono (ad esempio) attacchi "brute force" in corso o simili.
    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 4 febbraio 2011 10:31