Security
被安全事件 ID 4793 淹沒 - Windows 2008 R2
我有一個 SQL 伺服器,它是執行 Windows 2008 R2 的域成員。它是故障轉移集群中的一個集群節點。安全事件日誌充斥著這些:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/17/2012 8:30:19 AM Event ID: 4793 Task Category: Other Account Management Events Level: Information Keywords: Audit Success User: N/A Computer: SqlServer01.domain.com Description: The Password Policy Checking API was called. Subject: Security ID: DOMAIN\ClusterServiceAccount Account Name: ClusterServiceAccount Account Domain: Domain Logon ID: 0xaaaaa Additional Information: Caller Workstation: SqlServer01 Provided Account Name (unauthenticated): - Status Code: 0x0
當我說“氾濫”時,我的意思是每秒大約有 20 個這樣的事件被記錄到安全日誌中,這意味著安全日誌現在基本上沒有用了,因為它在不到一個小時內就被這些事件填滿了,沒有其他空間了.
我確實找到了這篇關於它的Technet 文章,它為我提供了關於如何關閉它的日誌記錄的線索,但不是簡單地關閉日誌記錄,我真的更想知道究竟是什麼導致了它,為什麼它會這樣做,以及如何使其停止呼叫密碼策略檢查 API。
回答了我自己的問題。如果您有某些服務帳戶非常快速地訪問數據庫,並且如果在這些帳戶上選中“強制密碼策略”,則 SQL 會非常快速地呼叫該 Windows API。您可以停止該行為,也可以通過 GPO 或本地安全策略停止記錄該行為。我選擇通過取消選中某些關鍵 SQL 服務帳戶登錄上的“強制密碼策略”選項來停止該行為,並且我可以確認我的 Windows 安全事件日誌再次受到控制。