Windows

是否有 Windows 事件字元數限制?

  • July 26, 2018

我正在對 Windows 事件 ID 5136(“目錄服務對像已修改”)以及更具體的“ LDAP 顯示名稱 = nTSecurityDescriptor ”事件(參見以下事件 5136 擷取)進行輸出分析。

在“值”欄位中,我列出了對象本身更改的所有安全權限,這很棒。但是,在嘗試比較 2x 相關事件及其各自的“值”欄位時,我注意到以下問題:

  • 字元數始終為 5120 (4096+1024)
  • 位於最後一行的文本總是被截斷,並且沒有以正確的字元結尾 - 最後應該是“)”(請參閱以下文本輸出)。

有關事件的資訊:

  • 源主機是 Windows Server 2012 R2 DC(最新)
  • 對於這個特定的輸出分析,直接從源電腦本身提取日誌(因此沒有 WEF、NXlog 代理、SYSLOG、ELK、SIEM,…)
  • 使用 PowerShell、事件控制台(正常選項卡)或事件控制台(詳細資訊/XML 視圖)查看事件提供相同的輸出

因此,我在 Windows 事件(不是事件日誌文件本身)中查找了一些值大小限制,但只是在“community embarcadero”和“developpez”網站上找到了一些資訊。

問題:有人知道 Windows 日誌值欄位是否有任何限制為 5120 字節以及增加它的方法嗎?我需要兩者之間進行差異並報告更改。謝謝

由於 Microsoft 的可能更新,問題似乎得到了解決

最初的問題是在 2017 年 5 月 9 日檢測到的,今天在 2018 年 7 月 26 日,這種“截斷”行為在我的環境中消失了。日誌不再被截斷,完整的 SDDL 顯示在 Windows 事件查看器中(請參閱下面的VALUE欄位)。Concerned DC 從 2018 年 6 月開始執行更新。

A directory service object was modified.

Subject:
   Security ID:        DEMO\XXX
   Account Name:       XXX
   Account Domain:     DEMO
   Logon ID:       0x4D4A4CB

Directory Service:
   Name:   demo.lan
   Type:   Active Directory Domain Services

Object:
   DN: OU=Test-OU,OU=COMPANY,DC=demo,DC=lan
   GUID:   OU=Test-OU,OU=COMPANY,DC=demo,DC=lan
   Class:  organizationalUnit

Attribute:
   LDAP Display Name:  nTSecurityDescriptor
   Syntax (OID):   2.5.5.15
   Value:  O:DAG:DAD:AI(D;;DCDTSD;;;WD)(OA;CI;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CI;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;;CCDC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;AO)(OA;;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)(A;;LCRPRC;;;S-1-5-21-989513866-1262747471-3324978036-1698)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA)(A;;LCRPLORC;;;ED)(A;;LCRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(OA;CIIOID;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;CR;00299570-246d-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIIOID;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;CC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967a86-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967aa5-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;5cb41ed0-0e4c-11d0-a286-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;RP;4c164200-20c0-11d0-a768-00aa006e0529;;S-1-5-21-989513866-1262747471-3324978036-1248)(OA;CIID;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;9a7ad945-ca53-11d1-bbd0-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;bf967991-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967a0a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;9a9a021e-4a5b-11d1-a9c3-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;0296c120-40da-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;934de926-b09e-11d2-aa06-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;5e353847-f36c-48be-a7f7-49685402503c;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;8d3bca50-1d7e-11d0-a081-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;e48d0154-bcf8-11d1-8702-00c04fb96050;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;275b2f54-982d-4dcd-b0ad-e53501445efb;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;5fd42471-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;5430e777-c3ea-4024-902e-dde192204669;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;6f606079-3a82-4c1b-8efb-dcc8c91d26fe;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967a7a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;bf967a7f-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;614aea82-abc6-4dd0-a148-d67a59c72816;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;66437984-c3c5-498f-b269-987819ef484b;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;77b5b886-944a-11d1-aebd-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;2cc06e9d-6f7e-426a-8825-0215de176e11;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;3263e3b8-fd6b-4c60-87f2-34bdaa9d69eb;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf9679c0-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;7cb4c7d3-8787-42b0-b438-3c5d479ad31e;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIIOID;DTWD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;DTWD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIIOID;SD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967a86-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;SD;;bf967aa5-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;5cb41ed0-0e4c-11d0-a286-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a86-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a9c-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967aba-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)(OA;CIIOID;LCRPLORC;;4828cc14-1437-45bc-9b07-ad6f015e5f28;RU)(OA;CIIOID;LCRPLORC;;bf967a9c-0de6-11d0-a285-00aa003049e2;RU)(OA;CIIOID;LCRPLORC;;bf967aba-0de6-11d0-a285-00aa003049e2;RU)(OA;CIID;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;NS)(OA;CIID;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;AU)(OA;CIID;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)(OA;CIID;RPWPCR;91e647de-d96f-4b70-9557-d63ff4f3ccd8;;PS)(A;CIID;LCRPLORC;;;S-1-5-21-989513866-1262747471-3324978036-1239)(A;CIID;LCRPLORC;;;S-1-5-21-989513866-1262747471-3324978036-1252)(A;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-989513866-1262747471-3324978036-519)(A;CIID;LC;;;RU)(A;CIID;CCLCSWRPWPLOCRSDRCWDWO;;;BA)S:AI(OU;CIIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIDSA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIDSAFA;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;WD)(OU;CIIDSAFA;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;WD)(OU;CIIDSAFA;CR;45ec5156-db7e-47bb-b53f-dbeb2d03c40f;;WD)(OU;CIIDSAFA;CR;ba33815a-4f93-4c76-87f3-57574bff8109;;WD)(OU;CIIDSAFA;CR;ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501;;WD)(OU;CIIDSAFA;CR;bae50096-4752-11d1-9052-00c04fc2d4cf;;WD)(OU;CIIDSAFA;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;440820ad-65b4-11d1-a3da-0000f875ae0d;;WD)(OU;CIIDSAFA;CR;e2a36dc9-ae17-47c3-b58b-be34c55ba633;;WD)(OU;CIIDSAFA;CR;7726b9d5-a4b4-4288-a6b2-dce952e80a7f;;WD)(OU;CIIDSAFA;CR;f98340fb-7c5b-4cdb-a00b-2ebdfa115a96;;WD)(OU;CIIDSAFA;CCDC;80212842-4bdc-11d1-a9c4-0000f80367c1;;WD)(OU;CIIDSAFA;CCDC;ce206244-5827-4a86-ba1c-1c0c386c1b64;;WD)(OU;CIIDSAFA;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;7b8b558a-93a5-4af7-adca-c017e67f1057;;WD)(OU;CIIDSAFA;CCDC;bf967a99-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aa3-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aa5-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aad-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967abb-0de6-11d0-a285-00aa003049e2;;WD)(AU;CIIDSAFA;WPDTSDWDWO;;;WD)

Operation:
   Type:   Value Added
   Correlation ID: {aeeab9c1-2e71-4947-9418-c3b04bf52d1d}
   Application Correlation ID: -

事件中的消息由EvtFormatMessage函式呈現。據我記得有一個大約 32k 個字元的限制,所以這不應該導致截斷。這通過由事件 id 標識的格式字元串和與事件一起儲存的一組值來工作。value: %作品是這樣的。用於寫入此值的EVENTDATA_DESCRIPTOR結構也可以儲存更大的數據。

我敢打賭,事件提供者對此有一個內部限制(5120)。這背後的原因可能是由於文件中提到的限制EVENTDATA_DESCRIPTOR

Note that the total data size of the event (not just this data item)
is the lesser of
64 KB

您的事件有 12 個值,如果它們對每個值使用相同的限制,那麼它會下降到大約 5kb。也許您可以向 Microsoft 送出錯誤報告。

引用自:https://serverfault.com/questions/871081