Forum
Netwrix'in account locked out examiner uygulamasını denemek için indirdim ve kurulumda bahsettiği gibi group policyden audit policydeki audit logon events, audit account management ve audit logon eventsi aktive ettim. Daha sonra event loga baktığımda sürekli kerberos ticket failure audit uyarılarıyle dolduğunu farkettim 1 dakika içinde bir sürü kerberos audit failure oluşuyordu bunlar remote desktop ile oturum açılan 2 sunucuda oturum açılmış 2 kullanıcı hesabından kaynaklandığını gördüm bu sunuculara gidip oturumları kapatmama rağmen bu loglar hala oluşuyordu.
Bu kerberos audit failuredan kurtulmak için group policyde varsayılan ayarlara döndüm ama değişen birşey olmadı aynı hataları almaya devam ettim. Webde araştırdığımda Advanced Audit Policy Configuration | Account Managementtan kerberosla ilgili failure vermesin diye ilgili özelliği kapattım. Bir süre sonra loglara baktığımda logon/logofla ilgili hiç log düşmediğini gördüm. Plocyde değiştirdiğim tüm ayarları varsayılana döndüm ama ne yaptıysam artık auditle ilgili hiç log düşmüyor.
Bu problemi nasıl giderebilirim?
Merhaba
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.
Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.
C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.
Teşekkkürler
Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.
Verdiğiniz linkteki yazınızı okumuştum, komut ile ektifleştirmeye çalıştığımda da aşağıdaki hatayı aldım ve aşamadım bir türlü. Peki sizce policyi default ayarlara almama rağmen neden eski haline dönmüyor olabilir, öğrenmek için soruyorum.
Bu problem sadece domain controllerlarda oluştu. Diğer sunucular normal görünüyor.
C:\Windows\system32>auditpol /set /subcategory:"logon" /succes:enable /failure:enable
Error 0x00000057 occurred:
The parameter is incorrect.Teşekkkürler
İki tane ss olacak success benim makale de öyle ise onu da düzelyeyim, böyle olmalı yani
auditpol /set /subcategory:"logon" /success:enable /failure:enable
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Baktım benim makalede sorun yok, sanırım siz yazım hatası yapmışsınız.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Problemi linkteki makalenin en sonunda anlatıldığı şekilde çözdüm. Tüm olay audit.csv'de bitiyormuş. Eğer Advanced Audit Plocy'i kurcalarsanız varsayılan ayarlara geri dönebilmek için audit.csv'yi linkin sonunda bahsedilen konumdan silmek gerekiyor.
Detay için teşekkürler, bende makaleme bu bölümü ekledim.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Aa evet s eksik yazmış olabilirim, genelde success s'ini addressin d'sini sıklıkla unuturum. 🙂 Ama unutmam iyi olmuş başka bir şey öğrenmiş oldum. 🙂
Ek olarak yukarıdaki linkte bahsedilen dosyayı ayrıca c:\windows\security\audit\ altından da silmek gerekiyor, aksi halde sorun düzelmiyor.
Kolay gelsin
Eyvallah 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************