c# - EventLog security.evtx 垃圾邮件是如何发生的？

问题描述

在 Windows Server 2012 R2 上运行企业应用程序时，系统突然变得非常缓慢：一些巨大的负载正在撞击磁盘。更深入的检查表明 svchost.exe (LocalServiceNetworkRestricted) 不断地以每秒 25Mb 的速度写入 C:\Windows\System32\winevt\Logs\Security.evtx文件。
同时，Windows EventLog 会被大量这样的消息发送垃圾邮件

简单地停止我们的应用程序服务器，确实停止了垃圾邮件，但我们需要该服务器运行。我们已经回滚了企业应用程序中的所有最新代码更改，但它并没有解决问题，也没有减少Security.evtx.

我们还检查了基础设施人员没有重新配置此服务器上的任何设置，尤其是审核策略。（最后一次更改是 1 个月前）。

检查进程，我们发现它不断转向注册表\HKLM\SYSTEM\Services\EventLog\并枚举下面所有的键，它们在 800 左右

然后我们发现审计策略的配置方式是将这些读取中的每一个记录到 EventLog 中。禁用审计策略解决了这个问题。

但问题是：如果没有人更改审计策略配置，怎么会发生这种情况？Windows 没有重新启动，最近没有安装更新。唯一改变的是——部署了最新版本的企业应用程序，日志记录或注册表访问没有任何变化。

这种检查遍历 \HKLM\SYSTEM\Services\EventLog\ 下的所有注册表项是否正常？（不得不提，这段代码已经存在很长时间了）

标签： c#.netregistryevent-logcustom-eventlog