Event ID: 560

Source: Security

Type: Failure Audit

User: NT AUTHORITY\LOCAL SERVICE

Ako se u Event Vieweru počinju pojavljivati eventi s gornjom specifičnom porukom, a koji vrlo brzo pune log file, vrlo je vjerojatno da u Security Policyju imate uključenu opciju "file and object access - success and failure auditing". Problem je u tome što uključivanjem te opcije Windowsi automatski uključuju i auditing na fileovima koje oni smatraju važnima za svoj rad, a zaštićeni su od "neovlaštenog" pristupa, te tako prijavljuju svaki pristup njima kao Failure Audit. Ovo nije prevelik problem, ali se log file jako brzo puni te se zbog velike količine zapisa može dogoditi da ne uočite Failure Audit koji bi mogao biti doista važan, kao npr. kod pokušaja upada na server i slično. Rješenje je da isključite Auditing, ako vam nije baš neophodan.

Više o tome na:

http://eventid.net/display.asp?eventid=560&eventno=57&source=Security&phase=1