Вопрос или проблема
Мне поручено мониторинг и анализ различных логов через наше решение SIEM; LogRhythm.
Несколько недель назад я заметил, что у нас были большие объемы этого события, происходящего со всех наших контроллеров домена. Данные лога следующие:
EventID: 521
Данные события: невозможно записать события в журнал безопасности
Код состояния: 0x80000005
Значение CrashonAuditFail: 0
Количество неудачных аудитов: 1
Я убедился, что все контроллеры домена имеют достаточное количество дискового пространства для записи в журнал и что логи настроены на перезапись старейших журналов в первую очередь.
Серверы были перезагружены в последние несколько дней, но проблема остается.
Я читал некоторые предложения по переименованию события безопасности и перезапуску машины, чтобы был создан новый файл событий, но я не могу поверить, что файл событий стал поврежден на всех контроллерах домена.
Также стоит отметить, что все затронутые контроллеры домена на самом деле записывают другие события в журнал событий безопасности!
Мы получаем около 61,34 тысячи таких событий в день.
Любые подсказки были бы очень полезны.
Код состояния 0x80000005 в описании события означает “доступ запрещен”. Поэтому возможно, что какое-то приложение пытается записать события в журнал безопасности, но у него нет необходимых разрешений (по более подробным причинам для ошибки “доступ запрещен” см. http://www.eventid.net/errorsdisplay.asp?error_code=5 – иногда сообщение вводит в заблуждение). Поврежденный журнал вызвал бы код состояния 0xc0000008 (Недействительная ручка), поэтому я не думаю, что это случай здесь.
Основываясь на количестве событий, которые вы упомянули, и предположив, что 19 контроллеров домена имеет аналогичное количество записанных событий, похоже, что это событие записывается каждые 30 секунд? Можете проверить это? Если это не так, какова частота событий 521?
Ответ или решение
Event ID 521 – Критическая ошибка записи в журналы на контроллерах домена
Ваша задача по мониторингу и анализу журналов с использованием решения SIEM, такого как LogRhythm, очень важна для обеспечения безопасности и стабильности информационной инфраструктуры. Обнаружение большого объема событий Event ID 521, сообщающего о критической ошибке записи, может указывать на серьезные проблемы, требующие незамедлительного внимания.
Описание проблемы
Событие ID 521 указывает на невозможность записи событий в журнал безопасности. Вы указали, что проблема проявляется на всех ваших контроллерах домена (DC), и в журналах отображается статус код 0x80000005. Этот код обозначает ошибку доступа (Access Denied), что может указывать на недостаточные права у приложения или службы, пытающейся записать события в журнал. Также вы указали, что настройка CrashonAuditFail равна 0, что предотвращает зависание серверов при сбоях аудита.
Несмотря на наличие достаточного места на диске и правильные настройки логирования (перезапись старых журналов), проблема все еще остается нерешенной. Интересно, что контроллеры домена продолжают записывать другие события в журнал безопасности, что указывает на то, что проблема может быть связана с определенной службой или процессом.
Общие рекомендации
-
Проверка разрешений: Убедитесь, что учетная запись, выполняющая операции записи в журнал безопасности, обладает необходимыми правами. Проверьте настройки локальной и групповой политики, чтобы удостовериться, что доступ не ограничен для необходимых служб.
-
Проверка частоты событий: Вы упомянули, что получаете около 61.34k событий в день. Если мы отвечаем на этот показатель, то событие 521 может появляться каждые 30 секунд. Рекомендуется подтвердить этот промежуток времени или установить более детальную частоту появления этих событий, чтобы лучше понять масштаб проблемы.
-
Завершение проблемных служб: Используйте диспетчер задач или PowerShell для мониторинга запущенных процессов. Попробуйте временно остановить подозрительные службы или приложения, которые могут вызывать проблемы, и проверьте, исчезает ли ошибка.
-
Проверка совместимости и обновлений: Убедитесь, что все контроллеры домена используют обновленную версию операционной системы и установлены все последние обновления, поскольку возможны баги, вызывающие подобные проблемы.
-
Удаление и создание нового журнала: Хотя вы выразили сомнения в том, что файлы журналов повреждены, попробуйте переименовать файлы журналов и перезагрузить сервер для создания новых. Иногда это помогает, даже если ошибочная ситуация наблюдается на всех контроллерах.
-
Анализ журналов событий: Продолжайте мониторить дополнительные журналы событий на наличие других связанных ошибок или предупреждений, которые могут указать на источник проблемы. Убедитесь, что в журналах контейнеров событий (например, приложений, системных событий) нет других аномалий.
Заключение
Проблема с Event ID 521 действительно может быть связана с разрешениями или конкретной службой, запрашивающей запись в журнал безопасности. Рекомендую тщательно следовать вышеуказанным шагам, чтобы выявить источник проблемы. Поскольку данная ситуация потенциально влияет на безопасность и аудит ваших систем, важно действовать быстро и ответственно. Поделитесь результатами ваших исследований, чтобы улучшить коллективное понимание ситуации в вашей организации.