Доброго дня.
Очередной вопрос от эхо...
была проблема описанная в статье http://support.microsoft.com/kb/935649
выполнил рекомендации.
сегодня начал аудит Event Viewer по входам в систему - и оказалось-то лог не пишется в Security. Остановлися примерно в то время, как я делал рекомендации из статьи.
Скажите, могут ли мои манипуляции из этой статьи повлиять на Event Viewer ?

Посмотрите в политиках настройки журналов. Возможно, отключена запись при переполнении

Посмотрите в политиках настройки журналов. Возможно, отключена запись при переполнении »
во-во-во.. только полез туда... начальник сказал что, что-то там делал. а где там именно? что-то не нашёл...

monkkey, нашёл - отключили в доменных политиках.

Вопрос. Есть вот такие логи:
http://www.exonix.ru/logDC.jpg
как и где настроить, чтобы не было событий 576, 540, 538. Они за пару часов забьют весь лог-файл, и начнётся перезапись.
мне не хочеться знать о:
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 576
Date: 27.08.2008
Time: 13:51:47
User: NT AUTHORITY\SYSTEM
Computer: JON4
Description:
Special privileges assigned to new logon:
User Name: ХХХХ$
Domain: DOMAIN
Logon ID: (0x0,0x1E648921)
Privileges: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
на ДК просто хочется иметь логи о входах пользователей на помпы. Это 680 событие.

хочется иметь логи о входах пользователей на помпы. Это 680 событие »
680 - это категория "account logon"

Включаем Audit account logon events и выключаем Audit logon events (и всё остальное, что не нужно)
"No auditing" или "Failure" - на выбор. Главное, чтоб не логгились Success'ы

http://s58.radikal.ru/i159/0808/c1/99aa48ab0728.jpg

настролил как на скрине, и доменную и политику контроллера.
Но всё равно, кроме 680 есть и другие события. + 680 по 2 раза...

кроме 680 есть и другие события »
надо смотреть, к какой категории относятся те, которые не нужны - и запрещать их тоже (вместо Not defined ставить No auditing)

HLT, а нету такого - просто настроить по номерам? т.е. при включённом полном аудите, я запрещаю все, кроме № таких-то таких-то. Или разрешаю такие №, кроме № таких ?
И вообще не понимаю - зачем одно и тоже событие регистрируется несколько раз в секунду.

exo,
не легче сделать в айудите затирать сообщение если их обьемпревышает 2-3мб?

их обьемпревышает 2-3мб »
да их в день набегает за 2-3 Мб... а мне нужны логи и за прошлую неделю...

exo,
ааа ну это не много.
ПРосто при просмотре можно же фильтроваль евент.

Хотя вопрос есть вопрос ...

ПРосто при просмотре можно же фильтроваль евент. »
если установить галочку - затирать по мере необходимости, то вчерашние логи, затёртые, никакой фильтр не покажет.