TL; DR: ไฟล์ EventLog เต็มแล้ว การเขียนทับรายการนั้นมีราคาแพงและ / หรือมีการใช้งานไม่ดีใน Windows Server 2008
ที่@pk และ@joeqwertyข้อเสนอแนะและหลังจากถามไปรอบ ๆ ฉันตัดสินใจว่ามันเป็นไปได้มากที่สุดที่การใช้งานการตรวจสอบที่ถูกลืมนั้นกำลังคัดลอกบันทึกเหตุการณ์
ฉันติดตั้งการตรวจสอบเครือข่ายของ Microsoftบนหนึ่งใน Domain Controllers และเริ่มการกรองสำหรับ MSRPC โดยใช้ProtocolName == MSRPC
ตัวกรอง มีการรับส่งข้อมูลจำนวนมาก แต่ทั้งหมดอยู่ระหว่าง RODC ของไซต์ระยะไกลและน่าเสียดายที่ไม่ได้ใช้พอร์ตปลายทางเดียวกันกับกระบวนการรับฟัง EventLog ยี้! มีทฤษฎีดังกล่าว
เพื่อทำให้สิ่งต่าง ๆ ง่ายขึ้นและทำให้การเรียกใช้ซอฟต์แวร์ตรวจสอบง่ายขึ้นฉันตัดสินใจที่จะแกะบริการ EventLog จาก SVCHost คำสั่งต่อไปนี้และการรีบูทตัวควบคุมโดเมนอุทิศหนึ่งกระบวนการ SVCHost ให้กับบริการ EventLog สิ่งนี้ทำให้การตรวจสอบง่ายขึ้นเล็กน้อยเนื่องจากคุณไม่มีบริการหลายอย่างที่แนบมากับ PID นั้น
SC config EventLog Type= own
จากนั้นฉันไปที่ProcMonและตั้งค่าตัวกรองเพื่อแยกทุกอย่างที่ไม่ได้ใช้ PID นั้น ฉันไม่เห็นตันของความพยายามที่ล้มเหลวโดย EventLog เปิดรีจิสทรีคีย์ที่ขาดหายไปตามที่ระบุเป็นสาเหตุที่เป็นไปได้ที่นี่ (เห็นได้ชัดว่าการใช้งานเส็งเคร็งสามารถลงทะเบียนเป็นแหล่งที่มาของกิจกรรมในรูปแบบที่น่าสงสารมาก) ฉันเห็นรายการ ReadFile ที่ประสบความสำเร็จมากมายของบันทึกเหตุการณ์ความปลอดภัย (C: \ Windows \ System32 \ WinEvt \ Logs \ Security.evtx)
นี่คือการดูสแต็คในหนึ่งในกิจกรรมเหล่านี้:
คุณจะสังเกตเห็น RPCBinding ก่อนแล้วจึง RPCBindingUnbind มีจำนวนมากเหล่านี้ เหมือนเป็นพันต่อวินาที ล็อกการรักษาความปลอดภัยไม่ว่างจริง ๆ หรือมีบางอย่างไม่ทำงานกับSecurity.evtx
บันทึก
ใน EventViewer บันทึกการรักษาความปลอดภัยเป็นการบันทึกระหว่าง 50-100 เหตุการณ์ต่อนาทีเท่านั้นซึ่งดูเหมือนว่าเหมาะสมสำหรับโดเมนขนาดนี้ ยี้! มีทฤษฎีจำนวนที่สองที่เรามีแอปพลิเคชั่นบางอย่างที่มีการตรวจสอบเหตุการณ์ที่ละเอียดมากหันไปทางซ้ายในมุมที่ถูกลืม มีกิจกรรมที่บันทึกไว้จำนวนมาก (~ 250,000) แม้ว่าอัตรากิจกรรมที่บันทึกไว้ต่ำ ขนาดบันทึกอาจ?
ล็อกการรักษาความปลอดภัย - (คลิกขวา) - คุณสมบัติ ... และขนาดล็อกสูงสุดถูกตั้งค่าไว้ที่ 131,072 KB และขนาดล็อกปัจจุบันอยู่ที่ 131,072 KB ปุ่มตัวเลือก 'เขียนทับเหตุการณ์ตามต้องการ' ได้รับการตรวจสอบแล้ว ฉันคิดว่าการลบและการเขียนไฟล์บันทึกอย่างต่อเนื่องอาจเป็นงานที่ยากโดยเฉพาะอย่างยิ่งเมื่อมันเต็มดังนั้นฉันเลือกที่จะล้างบันทึก (ฉันบันทึกบันทึกเก่าในกรณีที่เราต้องการมันเพื่อตรวจสอบในภายหลัง) และให้บริการ EventLog สร้างขึ้น ไฟล์ว่างใหม่ ผลลัพธ์: การใช้งาน CPU กลับสู่ระดับสติประมาณ 5%