Trabalhando em controladores de domínio executando o Windows Server 2022 21H2 Estou recebendo uma série de eventos 521 no log de segurança em cerca de metade dos meus DCs. O código de status é 80000005, que me disseram ser um estouro de buffer que pode ser resolvido aumentando o Buffersize e MaximumBuffers no Registro do Windows.
Eu fiz essa mudança em
HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security
Defina BufferSize como 256 e MaximumBuffers como 64 e, em seguida, reinicie. Os eventos 521 continuam a acumular e a disparar alertas críticos no ADAudit.
Quando verifico as configurações do Log de Segurança via PowerShell com isto:
get-winevent -ListLog security -computername dc-deadhorse-vm | fl *
Recebo esta informação de volta:
Tamanho do arquivo: 497094656
IsLogFull: Falso
Contagem de registros: 378351
Nome do log: Segurança
IsEnabled: Verdadeiro
Caminho do arquivo de log:%SystemRoot%\System32\Winevt\Logs\Security.evtx
TamanhoMáximoEmBytes: 537067520
Modo de Log: Backup Automático
Tamanho do buffer do provedor: 64
ProviderMinimumNumberOfBuffers: 0
ProviderMaximumNumberOfBuffers: 16
Latência do Provedor: 1000
Guia de controle do provedor:
Observe que BufferSize e MaximumBuffers parecem ainda estar nos valores padrão de 64 e 16, respectivamente, o que explicaria por que alterar o registro como eu fiz não fez diferença.
Isso está correto? Qual é o método apropriado para definir esses valores de buffer?
Para obter informações adicionais, também fiz o seguinte, conforme recomendado em outra discussão do fórum sobre o evento 521, e tudo não resultou em nenhuma alteração:
Tamanho do log aumentado para 1 GB
AutoArquivar habilitado
Limpou o Log de Segurança
Excluiu e recriou o arquivo Security .evtx
Permissões confirmadas no arquivo .evtx
Espaço em disco adequado confirmado
Reiniciei o DC
Sua contribuição é bem-vinda!