c# - EventLog security.evtx 垃圾邮件是如何发生的?
问题描述
在 Windows Server 2012 R2 上运行企业应用程序时,系统突然变得非常缓慢:一些巨大的负载正在撞击磁盘。更深入的检查表明 svchost.exe (LocalServiceNetworkRestricted) 不断地以每秒 25Mb 的速度写入
C:\Windows\System32\winevt\Logs\Security.evtx
文件。
同时,Windows EventLog 会被大量这样的消息发送垃圾邮件
简单地停止我们的应用程序服务器,确实停止了垃圾邮件,但我们需要该服务器运行。我们已经回滚了企业应用程序中的所有最新代码更改,但它并没有解决问题,也没有减少Security.evtx
.
我们还检查了基础设施人员没有重新配置此服务器上的任何设置,尤其是审核策略。(最后一次更改是 1 个月前)。
检查进程,我们发现它不断转向注册表\HKLM\SYSTEM\Services\EventLog\
并枚举下面所有的键,它们在 800 左右
然后我们发现审计策略的配置方式是将这些读取中的每一个记录到 EventLog 中。禁用审计策略解决了这个问题。
但问题是:如果没有人更改审计策略配置,怎么会发生这种情况?Windows 没有重新启动,最近没有安装更新。唯一改变的是——部署了最新版本的企业应用程序,日志记录或注册表访问没有任何变化。
这种检查遍历 \HKLM\SYSTEM\Services\EventLog\ 下的所有注册表项是否正常?(不得不提,这段代码已经存在很长时间了)
解决方案
推荐阅读
- macos - 无法连接到 High Sierra 上的 127.0.0.1
- vba - 选择excel中包含特定列中相同值的所有行
- ruby - 自动创建新变量 - 生成变量 - Ruby
- ios - 一个 UIImagePickerController 用于多个 ImageVIews
- c# - 实体框架。你的项目引用了最新版本的实体框架报错VS2017 MYSQL 8.0.12
- firebase - 使用 rxDart 合并 Firestore 流
- python - 如何将嵌套列添加到 3D Pandas DataFrame?
- html - CSS - 如果内容到达边距,则将内容向左对齐
- javascript - 动态减去日期、月份和年份,并使用 Jquery 将数据作为天数
- reactjs - 从表中删除行(无法读取 null 的属性“数据”)