Forum
Bildirimler
Hepsini Temizle
Windows Server
9
Yazılar
2
Üyeler
0
Likes
1,904
Görüntüleme
Konu başlatıcı
Netwrix'in account locked out examiner uygulamasını denemek için indirdim ve kurulumda bahsettiği gibi group policyden audit policydeki audit logon events, audit account management ve audit logon eventsi aktive ettim. Daha sonra event loga baktığımda sürekli kerberos ticket failure audit uyarılarıyle dolduğunu farkettim 1 dakika içinde bir sürü kerberos audit failure oluşuyordu bunlar remote desktop ile oturum açılan 2 sunucuda oturum açılmış 2 kullanıcı hesabından kaynaklandığını gördüm bu sunuculara gidip oturumları kapatmama rağmen bu loglar hala oluşuyordu.
Bu kerberos audit failuredan kurtulmak için group policyde varsayılan ayarlara döndüm ama değişen birşey olmadı aynı hataları almaya devam ettim. Webde araştırdığımda Advanced Audit Policy Configuration | Account Managementtan kerberosla ilgili failure vermesin diye ilgili özelliği kapattım. Bir süre sonra loglara baktığımda logon/logofla ilgili hiç log düşmediğini gördüm. Plocyde değiştirdiğim tüm ayarları varsayılana döndüm ama ne yaptıysam artık auditle ilgili hiç log düşmüyor.
Bu problemi nasıl giderebilirim?
Gönderildi : 03/02/2018 15:48
Merhaba
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 03/02/2018 21:40
Konu başlatıcı
Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.
Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.
C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.
Teşekkkürler
Gönderildi : 04/02/2018 00:20
Konu başlatıcı
Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.
Gönderildi : 05/02/2018 15:51
Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.
Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.
C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.Teşekkkürler
İki tane ss olacak success benim makale de öyle ise onu da düzelyeyim, böyle olmalı yani
auditpol /set /subcategory:"logon" /success:enable /failure:enable
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 05/02/2018 18:28
Baktım benim makalede sorun yok, sanırım siz yazım hatası yapmışsınız.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 05/02/2018 18:29
Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.
Detay için teşekkürler, bende makaleme bu bölümü ekledim.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 05/02/2018 18:37
Konu başlatıcı
Aa evet s eksik yazmış olabilirim, genelde success s'ini addressin d'sini sıklıkla unuturum. 🙂 Ama unutmam iyi olmuş başka bir şey öğrenmiş oldum. 🙂
Ek olarak yukarıdaki linkte bahsedilen dosyayı ayrıca c:\windows\security\audit\ altından da silmek gerekiyor, aksi halde sorun düzelmiyor.
Kolay gelsin
Gönderildi : 06/02/2018 19:13
Eyvallah 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 07/02/2018 02:52
