Event ID 4656 every 2 min. on 2 agents

edited March 2014 in General
since 3 days I become every 2 minutes this Event IDs of 2 Agent machines. Restart has no effect.

EVENT # 15064701
EVENT LOG Security
EVENT TYPE Audit Failure
OPCODE Info
SOURCE Microsoft-Windows-Security-Auditing
CATEGORY Andere Objektzugriffsereignisse
EVENT ID 4656
DATE / TIME 31.03.2014 07:59:54
COMPUTERNAME VISUMED01
MESSAGE Ein Handle zu einem Objekt wurde angefordert.

Antragsteller:
tSicherheits-ID: VISUPLUS\DCVISU01$
Kontoname: DCVISU01$
Kontodomäne: VISUPLUS
tAnmelde-ID: 0xfa7a1b7

Objekt:
Objektserver: SC Manager
Objekttyp: SERVICE OBJECT
Objektname: EventSentry
Handle-ID: 0x0

Prozessinformationen:
Prozess-ID: 0x26c
Prozessname: C:\Windows\System32\services.exe

Zugriffsanforderungsinformationen:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Zugriffe: Informationen über Dienstkonfiguration abfragen
Status vom Dienst abfragen

Zugriffsgründe: -
Zugriffsmaske: 0x5
tFür die Zugriffsüberprüfung verwendete Berechtigungen: -
Eingeschränkte SID-Anzahl: 0

EVENT # 15064702
EVENT LOG Security
EVENT TYPE Audit Failure
OPCODE Info
SOURCE Microsoft-Windows-Security-Auditing
CATEGORY Andere Objektzugriffsereignisse
EVENT ID 4656
DATE / TIME 31.03.2014 08:01:00
COMPUTERNAME VISUMED01
MESSAGE Ein Handle zu einem Objekt wurde angefordert.

Antragsteller:
tSicherheits-ID: VISUPLUS\VISUSQL01$
Kontoname: VISUSQL01$
Kontodomäne: VISUPLUS
tAnmelde-ID: 0xfa5864c

Objekt:
Objektserver: SC Manager
Objekttyp: SERVICE OBJECT
Objektname: EventSentry
Handle-ID: 0x0

Prozessinformationen:
Prozess-ID: 0x26c
Prozessname: C:\Windows\System32\services.exe

Zugriffsanforderungsinformationen:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Zugriffe: Informationen über Dienstkonfiguration abfragen
Status vom Dienst abfragen

Zugriffsgründe: -
Zugriffsmaske: 0x5
tFür die Zugriffsüberprüfung verwendete Berechtigungen: -
Eingeschränkte SID-Anzahl: 0

Comments

  • HI Enrico,

    On your EventSentry management console machine, if you open services.msc what account is the EventSentry Heartbeat service running as? If this account is running as the "Local System" account please change this to a domain admin account because this service is trying to query the service status of these remote machines.

    Steven
  • sorry that has no effect
  • Hi Enrico,

    What machine is "VISUMED01"? It looks like the computer account on two of your machines are trying to access resources on that machine.

    Steven
  • Are you using EventSentry or EventSentry Light? On how many computers do you have the "EventSentry Heartbeat Monitor" running? According to your logs, this service appears to be running on "VISUSQL01" as well as "DCVISU01". Generally speaking, the EventSentry Heartbeat Monitor" should only be running on one host on your network, under a local domain account which has privileges to query the status of the remote EventSentry agents.
  • after I have uninstall the EventSentry Heartbeat Monitor on VISUSQL01 and DCVISU01 - it works, but from PDCVISU01 i get this mail every 1 Minute:

    EVENT # 22669084
    EVENT LOG Security
    EVENT TYPE Audit Failure
    OPCODE Info
    SOURCE Microsoft-Windows-Security-Auditing
    CATEGORY Andere Objektzugriffsereignisse
    EVENT ID 4656
    DATE / TIME 02.04.2014 15:54:22
    COMPUTERNAME PDCVISU01
    MESSAGE Ein Handle zu einem Objekt wurde angefordert.

    Antragsteller:
    tSicherheits-ID: VISUPLUS\VISUMED01$
    Kontoname: VISUMED01$
    Kontodomäne: VISUPLUS
    tAnmelde-ID: 0x41b3836df

    Objekt:
    Objektserver: SC Manager
    Objekttyp: SERVICE OBJECT
    Objektname: EventSentry
    Handle-ID: 0x0

    Prozessinformationen:
    Prozess-ID: 0x3a4
    Prozessname: C:\Windows\System32\services.exe

    Zugriffsanforderungsinformationen:
    Transaktions-ID: {00000000-0000-0000-0000-000000000000}
    Zugriffe: Informationen über Dienstkonfiguration abfragen
    Status vom Dienst abfragen

    Zugriffsgründe: -
    Zugriffsmaske: 0x5
    tFür die Zugriffsüberprüfung verwendete Berechtigungen: -
    Eingeschränkte SID-Anzahl: 0


    on PDCvisu01 runs no EventSentry Heartbeat

    thanks again

  • If you look at the "Antragsteller" field, it shows the request coming from the computer account on VISUMED01. So it looks like the HB Agent is running on that host as well.

    On which host do you have the main EventSentry installation (e.g. the Heartbeat Service)?
  • on VISUMED01

    Default Group is
    VISUMED01
    VISUSQL01
    PDCVISU01
    DCVISU01

    heartbeat Group are nothing

    thanks enrico
Sign In or Register to comment.