Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Необходимо установить значения буфера в журнале событий безопасности Windows.

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Установка значений буферов в журнал безопасности Windows
  4. Анализ текущих настроек
  5. Как правильно установить значения буферов
  6. Дополнительные рекомендации

Вопрос или проблема

Работая с контроллерами домена под управлением Windows Server 2022 21H2, я получаю множество событий 521 в журнале безопасности примерно на половине моих контроллеров домена. Код состояния – 80000005, что, как мне сказали, является переполнением буфера, которое можно разрешить, увеличив размер буфера и максимальное количество буферов в реестре Windows.

Я внес это изменение в

HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security

Установил BufferSize в 256 и MaximumBuffers в 64, а затем перезагрузил систему. События 521 продолжают накапливаться и вызывать серьезные оповещения в ADAudit.

Когда я проверяю настройки журнала безопасности через PowerShell с этим:

get-winevent -ListLog security -computername dc-deadhorse-vm | fl *

Я получаю следующую информацию:

FileSize : 497094656

IsLogFull : False

RecordCount : 378351

LogName : Security

IsEnabled : True

LogFilePath :%SystemRoot%\System32\Winevt\Logs\Security.evtx

MaximumSizeInBytes : 537067520

LogMode : AutoBackup

ProviderBufferSize : 64

ProviderMinimumNumberOfBuffers : 0

ProviderMaximumNumberOfBuffers : 16

ProviderLatency : 1000

ProviderControlGuid :

Обратите внимание, что BufferSize и MaximumBuffers по-прежнему имеют значения по умолчанию 64 и 16 соответственно, что объясняет, почему изменения в реестре, которые я сделал, не оказали никакого эффекта.

Это правильно? Каков правильный способ установить эти значения буфера?

Для дополнительной информации я также сделал следующее, как советовали на других форумах по обсуждению события 521, все это не привело к изменениям:

  • Увеличил размер журнала до 1 ГБ

  • Включил автоматический архив

  • Очистил журнал безопасности

  • Удалил и воссоздал файл Security .evtx

  • Подтвердил права доступа к файлу .evtx

  • Подтвердил наличие достаточного места на диске

  • Перезагрузил контроллер домена

Ваше мнение будет ценным!

Ответ или решение

Установка значений буферов в журнал безопасности Windows

Работа с контроллерами домена на Windows Server 2022 (версия 21H2) может иногда приводить к проблемам с журналами событий, особенно с событиями, связанными с журналом безопасности. В вашем случае вы столкнулись с множеством событий 521, связанными с переполнением буфера (код состояния 80000005). Эта проблема может быть решена, изменив значения буфера в реестре Windows.

Анализ текущих настроек

Вы уже изменили значения в реестре по следующему пути:

HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security

Установив BufferSize на 256 и MaximumBuffers на 64, вы перезагрузили систему, но события 521 продолжают появляться. Также вы проверили настройки журнала безопасности с помощью PowerShell, и значения ProviderBufferSize и ProviderMaximumNumberOfBuffers остались равными 64 и 16 соответственно. Это действительно может объяснять, почему изменения в реестре не привели к ожидаемым результатам.

Как правильно установить значения буферов

Для корректной установки значений буферов, необходимо следовать нескольким шагам:

  1. Измените параметры в реестре:
    Убедитесь, что вы находитесь в правильном разделе реестра. Попробуйте установить значения:

    • BufferSize = 256
    • MaximumBuffers = 64

    Для этого откройте редактор реестра (regedit) и перейдите к указанному пути.

  2. Проверка папок логов:
    Убедитесь, что вы включили архивирование журнала и увеличили максимальный размер журнала до 1 ГБ. Это должно помочь в управлении большим объемом записей.

  3. Изменение значений в WMI:
    Убедитесь, что параметры буферов правильно настроены в настройках автозагрузчика журнала событий WMI. Для проверки используйте команду в PowerShell:

    Get-WmiObject -Namespace "root\Microsoft\Windows\WMI" -Class "WMIBuffer"

  4. Перезапустите службы:
    После внесения всех изменений убедитесь, что службы, связанные с журналами событий, перезапущены. Это можно сделать с помощью команды:

    Restart-Service -Name "EventLog"

  5. Перезагрузка:
    Перезагрузите контроллер домена, чтобы изменения вступили в силу.

  6. Мониторинг и тестирование:
    После всех изменений, продолжайте следить за журналом событий на наличие событий 521 в течение нескольких дней. Обратите внимание на частоту возникновения ошибки.

Дополнительные рекомендации

  • Используйте утилиты мониторинга: Рекомендуется использовать утилиты мониторинга производительности и журналов, такие как ADAudit, для получения большей информации о состоянии журнала безопасности.

  • Проверьте на наличие обновлений Windows: Убедитесь, что ваша система обновлена до последних патчей безопасности и исправлений, которые могут решить известные проблемы.

  • Обратитесь в поддержку Microsoft: Если проблема сохраняется, возможно, стоит связаться с технической поддержкой Microsoft для дальнейшей диагностики.

Следуя этим рекомендациям, вы сможете настроить ваши буферные значения для журнала безопасности в Windows и протестировать систему на наличие оставшихся проблем.

eventviewer log-files windows windows-event-log
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности