在运行 Windows Server 2022 21H2 的域控制器上工作时,大约一半的 DC 的安全日志中出现了大量事件 521。状态代码为 80000005,据我所知,这是缓冲区溢出,可以通过增加 Windows 注册表中的 Buffersize 和 MaximumBuffers 来解决。
我做了这个改变
HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security
将BufferSize设置为 256,将MaximumBuffers设置为 64,然后重新启动。521 事件继续累积并触发 ADAudit 中的严重警报。
当我通过 PowerShell 检查安全日志设置时:
get-winevent -ListLog security -computername dc-deadhorse-vm | fl *
我得到了以下信息:
文件大小:497094656
IsLogFull : False
记录数:378351
日志名称:安全
已启用 : True
日志文件路径:%SystemRoot%\System32\Winevt\Logs\Security.evtx
最大字节数:537067520
日志模式:自动备份
提供程序缓冲区大小 : 64
ProviderMinimumNumberOfBuffers : 0
ProviderMaximumNumberOfBuffers :16
提供商延迟 : 1000
提供者控制指南:
请注意,BufferSize和MaximumBuffers似乎仍然分别为默认值 64 和 16,这可以解释为什么像我一样更改注册表没有任何区别。
这是正确的吗?设置这些缓冲区值的正确方法是什么?
为了获得更多信息,我还按照其他论坛讨论中关于事件 521 的建议进行了以下操作,但没有任何变化:
日志大小增加到 1GB
已启用自动存档
清除安全日志
删除并重新创建安全 .evtx 文件
确认 .evtx 文件的权限
确认磁盘空间充足
重新启动 DC
非常感谢您的意见!