Eventos 576,538,540 en System Log

Hola:
Segun microsoft:
1. 576 - This behavior can occur when the audit policy includes auditing
for the
successful use of user rights.
2. 540 - This event shows a successful network.
3. 538 - This event is when the user logs off.

Lo que te puedo decir es que estos eventos son logueados cuando esta
habilitado la auditoria cada vez que un logon/logoff sucede, pero puede ser
una aplicacion la que registre estos sucesos y no el propio usuario
(ej:outlook u otra distinta), ya que indicas que esto te sucede desde hace
dos semanas yo chequearia si se ha instalado alguna aplicacion nueva,etc..

Estos son algunos de los ejemplos de otros fenomenos que pueden originar
estos eventos:

1. Register with DNS
2. Cambiar la password de la cuenta de maquina
3. Un servicio corriendo bajo una cuenta de dominio
4. La aplicacion de la group policy
5. Accesos a recursos en un DC o cualquier otro servidor (incluyendo
printing)
La unica manera de reducir el numero de eventos es parar la auditoria de
sucesos satisfactorios y dejar solo los fallos, pero esto depende de
vosotros.

Un saludo


"Edwin" wrote in message
news:

Hola a todos, anticipadamente gracias por la ayuda que me puedan
proporcionar.
Tenemos dos servidores DC con Windows Server 2003, desde hace una semana
el
System Log de uno de ello se llena rápidamente con los eventos 576,538 y
540
(16MB en aprox. 6 hrs.). He notado que en un mismo segundo se muestra
hasta
117 registros con los eventos indicados.
¿Cual puede ser el motivo de este comportamiento?. No hemos realizado
ningún
cambio en los servidores, antes los 16MB se completaba en 20hrs.
aproximadamente.

Saludos,
Edwin

Alejandro, gracias por tu pronta respuesta.
El servidor esta auditando lo siguiente: Account Logon, Account Management y
Logon Event (Success y Failed).
Hemos instalado una nueva aplicación que hace uso frecuente de un File
Server, y Print Server instalado en otro servidor (DC).

No se si estos eventos son normales, pero como los siguientes se registran
consecutivamente hasta 20 eventos en el mismo tiempo, con la unica diferencia
del Source Port, en este ejemplo varía desde 3403 hasta el 3423 (el IP
corresponde al SERVIDORx)

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936A3E)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3412

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936965)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3411

Voy a seguir monitoreando al servidor de acuerdo a tus sugerencias.

Saludos,
Edwin


"Alejandro Penado Ramos" escribió:

Hola:
Segun microsoft:
1. 576 - This behavior can occur when the audit policy includes auditing
for the
successful use of user rights.
2. 540 - This event shows a successful network.
3. 538 - This event is when the user logs off.

Lo que te puedo decir es que estos eventos son logueados cuando esta
habilitado la auditoria cada vez que un logon/logoff sucede, pero puede ser
una aplicacion la que registre estos sucesos y no el propio usuario
(ej:outlook u otra distinta), ya que indicas que esto te sucede desde hace
dos semanas yo chequearia si se ha instalado alguna aplicacion nueva,etc..

Estos son algunos de los ejemplos de otros fenomenos que pueden originar
estos eventos:

1. Register with DNS
2. Cambiar la password de la cuenta de maquina
3. Un servicio corriendo bajo una cuenta de dominio
4. La aplicacion de la group policy
5. Accesos a recursos en un DC o cualquier otro servidor (incluyendo
printing)
La unica manera de reducir el numero de eventos es parar la auditoria de
sucesos satisfactorios y dejar solo los fallos, pero esto depende de
vosotros.

Un saludo


"Edwin" wrote in message
news:
> Hola a todos, anticipadamente gracias por la ayuda que me puedan
> proporcionar.
> Tenemos dos servidores DC con Windows Server 2003, desde hace una semana
> el
> System Log de uno de ello se llena rápidamente con los eventos 576,538 y
> 540
> (16MB en aprox. 6 hrs.). He notado que en un mismo segundo se muestra
> hasta
> 117 registros con los eventos indicados.
> ¿Cual puede ser el motivo de este comportamiento?. No hemos realizado
> ningún
> cambio en los servidores, antes los 16MB se completaba en 20hrs.
> aproximadamente.
>
> Saludos,
> Edwin
>

Tengo el mismo problema, y al parecer es un error que tiene microsoft y que
vendra en el siguiente parche segun esta direccion

http://support.microsoft.com/defaul...-us;822774

El problema para mi es bastante severo dado que me detiene mi sistema por
segundos cada vez que hace este login y me perjudica, he buscado por internet
y al parecer no habra solucion pronta

Si alguien pudiera ayudarnos agradecere mucho su respuesta

Ing. Daniel Buenavad M.



"Edwin" escribió:

Alejandro, gracias por tu pronta respuesta.
El servidor esta auditando lo siguiente: Account Logon, Account Management y
Logon Event (Success y Failed).
Hemos instalado una nueva aplicación que hace uso frecuente de un File
Server, y Print Server instalado en otro servidor (DC).

No se si estos eventos son normales, pero como los siguientes se registran
consecutivamente hasta 20 eventos en el mismo tiempo, con la unica diferencia
del Source Port, en este ejemplo varía desde 3403 hasta el 3423 (el IP
corresponde al SERVIDORx)

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936A3E)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3412

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936965)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3411

Voy a seguir monitoreando al servidor de acuerdo a tus sugerencias.

Saludos,
Edwin


"Alejandro Penado Ramos" escribió:

> Hola:
> Segun microsoft:
> 1. 576 - This behavior can occur when the audit policy includes auditing
> for the
> successful use of user rights.
> 2. 540 - This event shows a successful network.
> 3. 538 - This event is when the user logs off.
>
> Lo que te puedo decir es que estos eventos son logueados cuando esta
> habilitado la auditoria cada vez que un logon/logoff sucede, pero puede ser
> una aplicacion la que registre estos sucesos y no el propio usuario
> (ej:outlook u otra distinta), ya que indicas que esto te sucede desde hace
> dos semanas yo chequearia si se ha instalado alguna aplicacion nueva,etc..
>
> Estos son algunos de los ejemplos de otros fenomenos que pueden originar
> estos eventos:
>
> 1. Register with DNS
> 2. Cambiar la password de la cuenta de maquina
> 3. Un servicio corriendo bajo una cuenta de dominio
> 4. La aplicacion de la group policy
> 5. Accesos a recursos en un DC o cualquier otro servidor (incluyendo
> printing)
> La unica manera de reducir el numero de eventos es parar la auditoria de
> sucesos satisfactorios y dejar solo los fallos, pero esto depende de
> vosotros.
>
> Un saludo
>
>
> "Edwin" wrote in message
> news:
> > Hola a todos, anticipadamente gracias por la ayuda que me puedan
> > proporcionar.
> > Tenemos dos servidores DC con Windows Server 2003, desde hace una semana
> > el
> > System Log de uno de ello se llena rápidamente con los eventos 576,538 y
> > 540
> > (16MB en aprox. 6 hrs.). He notado que en un mismo segundo se muestra
> > hasta
> > 117 registros con los eventos indicados.
> > ¿Cual puede ser el motivo de este comportamiento?. No hemos realizado
> > ningún
> > cambio en los servidores, antes los 16MB se completaba en 20hrs.
> > aproximadamente.
> >
> > Saludos,
> > Edwin
> >
>
>
>

Si te refieres al KB 822774 esta incluido en el ultimo SP1 para WK3 como
puedes comprobar en:

http://support.microsoft.com/defaul...-us;824721

Un saludo

"Daniel Buenavad" wrote in
message news:

Tengo el mismo problema, y al parecer es un error que tiene microsoft y
que
vendra en el siguiente parche segun esta direccion

http://support.microsoft.com/defaul...-us;822774

El problema para mi es bastante severo dado que me detiene mi sistema por
segundos cada vez que hace este login y me perjudica, he buscado por
internet
y al parecer no habra solucion pronta

Si alguien pudiera ayudarnos agradecere mucho su respuesta

Ing. Daniel Buenavad M.



"Edwin" escribió:

Alejandro, gracias por tu pronta respuesta.
El servidor esta auditando lo siguiente: Account Logon, Account
Management y
Logon Event (Success y Failed).
Hemos instalado una nueva aplicación que hace uso frecuente de un File
Server, y Print Server instalado en otro servidor (DC).

No se si estos eventos son normales, pero como los siguientes se
registran
consecutivamente hasta 20 eventos en el mismo tiempo, con la unica
diferencia
del Source Port, en este ejemplo varía desde 3403 hasta el 3423 (el IP
corresponde al SERVIDORx)

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936A3E)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3412

Successful Network Logon:
User Name: SERVIDORx$
Domain: DOMINIO1
Logon ID: (0x0,0x2936965)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {ff1b8fad-09aa-53e1-06ce-cab8d5aff690}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 174.40.1.1
Source Port: 3411

Voy a seguir monitoreando al servidor de acuerdo a tus sugerencias.

Saludos,
Edwin


"Alejandro Penado Ramos" escribió:

> Hola:
> Segun microsoft:
> 1. 576 - This behavior can occur when the audit policy includes
> auditing
> for the
> successful use of user rights.
> 2. 540 - This event shows a successful network.
> 3. 538 - This event is when the user logs off.
>
> Lo que te puedo decir es que estos eventos son logueados cuando esta
> habilitado la auditoria cada vez que un logon/logoff sucede, pero puede
> ser
> una aplicacion la que registre estos sucesos y no el propio usuario
> (ej:outlook u otra distinta), ya que indicas que esto te sucede desde
> hace
> dos semanas yo chequearia si se ha instalado alguna aplicacion
> nueva,etc..
>
> Estos son algunos de los ejemplos de otros fenomenos que pueden
> originar
> estos eventos:
>
> 1. Register with DNS
> 2. Cambiar la password de la cuenta de maquina
> 3. Un servicio corriendo bajo una cuenta de dominio
> 4. La aplicacion de la group policy
> 5. Accesos a recursos en un DC o cualquier otro servidor (incluyendo
> printing)
> La unica manera de reducir el numero de eventos es parar la auditoria
> de
> sucesos satisfactorios y dejar solo los fallos, pero esto depende de
> vosotros.
>
> Un saludo
>
>
> "Edwin" wrote in message
> news:
> > Hola a todos, anticipadamente gracias por la ayuda que me puedan
> > proporcionar.
> > Tenemos dos servidores DC con Windows Server 2003, desde hace una
> > semana
> > el
> > System Log de uno de ello se llena rápidamente con los eventos
> > 576,538 y
> > 540
> > (16MB en aprox. 6 hrs.). He notado que en un mismo segundo se muestra
> > hasta
> > 117 registros con los eventos indicados.
> > ¿Cual puede ser el motivo de este comportamiento?. No hemos realizado
> > ningún
> > cambio en los servidores, antes los 16MB se completaba en 20hrs.
> > aproximadamente.
> >
> > Saludos,
> > Edwin
> >
>
>
>