Windows Server(2012R)のServer Managerを起動したところ、個々の管理サーバー辺り300件程度、以下のeventlogが出力されていた。
An operation was attempted on a privileged object
- System - Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] EventID 4674 Version 0 Level 0 Opcode 0 - EventData SubjectUserSid S-1-5-xx SubjectUserName xxx SubjectDomainName xxx SubjectLogonId xxx ObjectServer Security ObjectType File ObjectName C:\Windows\System32\Tasks\Microsoft\Windows\PLA\Server Manager Performance Monitor HandleId AccessMask PrivilegeList SeSecurityPrivilege ProcessId ProcessName C:\Windows\System32\svchost.exe
イベントID 4674
, SeSecurityPrivilege
は、監査イベントやセキュリティログの表示等で必要な権限の試行である。Server Managerを起動しただけで、個々の管理サーバーの監査イベントやセキュリティログへのアクセスを試行するのであろうか。これだけのメッセージではどのようなイベントを試行しようとしたのか不明瞭であり追えないが、Server Managerを起動する度に出力されるノイズとなってしまう。
対処しようにも必要十分な情報が無い為、既知の事象として頭の片隅に留めておく。