Windows 2008 安全日志在无代理用户 ID 部署后已满

方案

部署无代理的用户 ID 后, windows 域控制器上的安全日志将大量填充事件 ID 4776, 导致 windows 安全日志频繁地覆盖自身。

问题

事件 ID 4776 是 Windows 2008 中 "用于登录的帐户" 事件。当配置无代理的用户 ID 时, 事件日志可能会因为事件 ID 4776 而大量填充, 因为它会在每次防火墙签入服务器时记录日志。要签入的 PAN OS 的默认设置为2秒。这可能会导致更频繁地覆盖安全日志, 从而导致更多的 CPU 利用率以跟上日志速率。

允许这种情况持续下去可能会导致 CPU 资源提升, 这可能会降低用户 ID 的准确性, 同时也会影响最终用户的生产率。  虽然如果您的无代理用户 ID 部署与 AD 通信有问题, 但事件 ID 4776 可能很有用, 但不需要此事件。在 Windows 2008 中, 用户 ID 所需的安全日志事件为:

• 4624-登录成功
• 4768-授予身份验证票证
• 4769-服务票授予
• 4770-获准续票

解决办法

1。要解决此问题, 请在 Windows 中打开 "组策略管理" 工具

2。导航到计算机配置 \ 策略 \ Windows 设置 \ 安全设置 \ 高级审核策略配置 \ 帐户登录 \

3。在 "帐户登录" 子类别中选择 "审核凭据验证" 并将其配置为 "无审核"