我们最近开始在我们的域控制器上记录 4624 个事件 ID,以帮助跟踪用户活动。总的来说,这很好,但最近开始一遍又一遍地收到这些消息。
2 月 20 日 00:00:54 dc01.domain.com Microsoft-Windows-Security-Auditing[536]: 2015-02-20 00:00:52 c01.domain.com AUDIT_SUCCESS 4624 [EventID 4624 的描述来自源 Microsoft-找不到 Windows-Security-Auditing:发布者已被禁用,其资源不可用。这通常发生在发布者正在卸载或升级的过程中。
我知道我们的 OPs 团队最近更新了服务器,但它仍在发生,我还没有找到很多关于如何阻止这种情况的参考资料。有没有其他人遇到过这些日志?谢谢。
事件 4624 是帐户已成功登录的通知。
至于有关发布者被禁用的错误消息,这是 Microsoft 已在此处提供修复的错误。这显然是 Windows 更新的一个糟糕事件——事件日志阅读器组失去了注册表权限。
从“让我自己修复它”说明中的 C&P(如果链接失效):
(它们还包括关于编辑注册表的标准免责声明,我在这里传递。)