Trabalhando em controladores de domínio executando o Windows Server 2022 21H2 Estou recebendo uma série de eventos 521 no log de segurança em cerca de metade dos meus DCs. O código de status é 80000005, que me disseram ser um estouro de buffer que pode ser resolvido aumentando o Buffersize e MaximumBuffers no Registro do Windows.
Eu fiz essa mudança em
HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security
Defina BufferSize como 256 e MaximumBuffers como 64 e, em seguida, reinicie. Os eventos 521 continuam a acumular e a disparar alertas críticos no ADAudit.
Quando verifico as configurações do Log de Segurança via PowerShell com isto:
get-winevent -ListLog security -computername dc-deadhorse-vm | fl *
Recebo esta informação de volta:
Tamanho do arquivo: 497094656
IsLogFull: Falso
Contagem de registros: 378351
Nome do log: Segurança
IsEnabled: Verdadeiro
Caminho do arquivo de log:%SystemRoot%\System32\Winevt\Logs\Security.evtx
TamanhoMáximoEmBytes: 537067520
Modo de Log: Backup Automático
Tamanho do buffer do provedor: 64
ProviderMinimumNumberOfBuffers: 0
ProviderMaximumNumberOfBuffers: 16
Latência do Provedor: 1000
Guia de controle do provedor:
Observe que BufferSize e MaximumBuffers parecem ainda estar nos valores padrão de 64 e 16, respectivamente, o que explicaria por que alterar o registro como eu fiz não fez diferença.
Isso está correto? Qual é o método apropriado para definir esses valores de buffer?
Para obter informações adicionais, também fiz o seguinte, conforme recomendado em outra discussão do fórum sobre o evento 521, e tudo não resultou em nenhuma alteração:
Tamanho do log aumentado para 1 GB
AutoArquivar habilitado
Limpou o Log de Segurança
Excluiu e recriou o arquivo Security .evtx
Permissões confirmadas no arquivo .evtx
Espaço em disco adequado confirmado
Reiniciei o DC
Sua contribuição é bem-vinda!
Parece que o local correto do registro para ajustar esses valores é
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.Lá você adicionaria valores REG_DWORD para BufferSize (em kb) e MaxBuffers (# de buffers).
O padrão para BufferSize parece ser 64 , e para MaxBuffers 20 . Não há muita informação disponível sobre isso, então não posso garantir que isso funcione. Nunca precisei configurar isso no Windows e trabalho com isso há mais de 25 anos.
Você definitivamente terá que reiniciar depois de configurar isso, não acho que você precise limpar o log de eventos ou algo assim. Nos avise se isso ajudar.
Minha pergunta original era como definir corretamente o BufferSize e o MaximumBuffers no Log de Eventos de Segurança do Windows. Para confirmar o que Lucky Luke recomendou, aqui está como fazer:
Editar chave de registro:
Adicione DWORDs BufferSize e MaxBuffers com seus valores — múltiplos de 64, como 128 e 32 respectivamente — e reinicie.
Após a reinicialização, você verá que esses valores são atualizados quando você consulta com este comando do PowerShell: