Denník zabezpečenia je teraz plný (ID udalosti 1104)

Dennik Zabezpecenia Je Teraz Plny Id Udalosti 1104



V Zobrazovači udalostí sú zaznamenané chyby bežné a narazíte na rôzne chyby s rôznymi ID udalostí. Udalosti, ktoré sú zaznamenané v protokoloch zabezpečenia, budú zvyčajne jedným z kľúčových slov Úspech auditu alebo zlyhanie auditu . V tomto príspevku budeme diskutovať Denník zabezpečenia je teraz plný (ID udalosti 1104) vrátane toho, prečo sa táto udalosť spustí, a akcií, ktoré môžete v tejto situácii vykonať, či už na klientskom alebo serverovom počítači.



Denník zabezpečenia je teraz plný (ID udalosti 1104)



Ako naznačuje popis udalosti, táto udalosť sa generuje vždy, keď sa denník zabezpečenia systému Windows zaplní. Napríklad, ak bola dosiahnutá maximálna veľkosť súboru protokolu udalostí zabezpečenia a metóda uchovávania protokolu udalostí je Neprepisovať udalosti (ručné vymazanie denníkov) ako je popísané v tomto Dokumentácia spoločnosti Microsoft . V nastaveniach denníka bezpečnostných udalostí sú nasledujúce možnosti:



  • Prepísať udalosti podľa potreby (najstaršie udalosti ako prvé) – Toto je predvolené nastavenie. Po dosiahnutí maximálnej veľkosti denníka sa staršie položky odstránia, aby sa uvoľnilo miesto pre nové položky.
  • Archivujte denník, keď je plný, neprepisujte udalosti – Ak vyberiete túto možnosť, systém Windows po dosiahnutí maximálnej veľkosti protokol automaticky uloží a vytvorí nový. Protokol bude archivovaný všade tam, kde je uložený protokol zabezpečenia. V predvolenom nastavení to bude na nasledujúcom umiestnení %SystemRoot%\SYSTEM32\WINEVT\LOGS . Môžete zobraziť vlastnosti prihlasovacieho prehliadača udalostí a určiť presnú polohu.
  • Neprepisovať udalosti (ručné vymazanie denníkov) – Ak vyberiete túto možnosť a protokol udalostí dosiahne maximálnu veľkosť, nebudú sa zapisovať žiadne ďalšie udalosti, kým protokol manuálne nevymažete.

Ak chcete skontrolovať alebo upraviť nastavenia denníka bezpečnostných udalostí, prvá vec, ktorú možno budete chcieť zmeniť, bude Maximálna veľkosť denníka (kB) – maximálna veľkosť súboru denníka je 20 MB (20 480 kB). Okrem toho rozhodnite o svojej politike uchovávania, ako je uvedené vyššie.



rozbaliť súbor cab

Denník zabezpečenia je teraz plný (ID udalosti 1104)

Keď sa dosiahne horná hranica veľkosti súboru udalostí denníka zabezpečenia a nie je priestor na zaznamenávanie ďalších udalostí, Identifikácia udalosti 1104: Denník zabezpečenia je teraz plný sa zaprotokoluje, čo znamená, že súbor denníka je plný a musíte okamžite vykonať niektorú z nasledujúcich akcií.

  1. Povoliť prepisovanie denníka v prehliadači udalostí
  2. Archivujte denník udalostí zabezpečenia systému Windows
  3. Manuálne vymažte denník zabezpečenia

Pozrime sa na tieto odporúčané akcie podrobne.

1] Povoliť prepisovanie denníka v prehliadači udalostí

Povoliť prepisovanie denníka v prehliadači udalostí



V predvolenom nastavení je protokol zabezpečenia nakonfigurovaný na prepisovanie udalostí podľa potreby. Keď zapnete možnosť prepisovania protokolov, umožní to prehliadaču udalostí prepísať staré protokoly, čím sa ušetrí pamäť pred zaplnením. Musíte sa teda uistiť, že táto možnosť je povolená podľa nasledujúcich krokov:

  • Stlačte tlačidlo Kláves Windows + R na vyvolanie dialógového okna Spustiť.
  • V dialógovom okne Spustiť zadajte eventvwr a stlačením klávesu Enter otvorte Zobrazovač udalostí.
  • Rozbaliť Denníky systému Windows .
  • Kliknite Bezpečnosť .
  • Na pravej table pod Akcie menu, vyberte Vlastnosti . Prípadne kliknite pravým tlačidlom myši na Bezpečnostný denník na ľavom navigačnom paneli a vyberte Vlastnosti .
  • Teraz, pod Keď sa dosiahne maximálna veľkosť denníka udalostí vyberte prepínač pre Prepísať udalosti podľa potreby (najstaršie udalosti ako prvé) možnosť.
  • Kliknite Použiť > OK .

Čítať : Ako podrobne zobraziť protokoly udalostí v systéme Windows

2] Archivujte denník udalostí zabezpečenia systému Windows

V prostredí s dôrazom na bezpečnosť (najmä v podniku/organizácii) môže byť potrebné alebo povinné archivovať protokol udalostí zabezpečenia systému Windows. Môžete to urobiť pomocou prehliadača udalostí, ako je uvedené vyššie, výberom položky Archivujte denník, keď je plný, neprepisujte udalosti možnosť alebo podľa vytvorenie a spustenie skriptu PowerShell pomocou nižšie uvedeného kódu. Skript PowerShell skontroluje veľkosť denníka udalostí zabezpečenia a v prípade potreby ho archivuje. Kroky, ktoré vykoná skript, sú nasledovné:

windows shift s
  • Ak má denník udalostí zabezpečenia menej ako 250 MB, do denníka udalostí aplikácie sa zapíše informačná udalosť
  • Ak je denník väčší ako 250 MB
    • Protokol je archivovaný do D:\Logs\OS.
    • Ak operácia archivácie zlyhá, do protokolu udalostí aplikácie sa zapíše chybová udalosť a odošle sa e-mail.
    • Ak je operácia archivácie úspešná, do denníka udalostí aplikácie sa zapíše informačná udalosť a odošle sa e-mail.

Pred použitím skriptu vo vašom prostredí nakonfigurujte nasledujúce premenné:

  • $ArchiveSize – nastavte požadovaný limit veľkosti denníka (MB)
  • $ArchiveFolder – Nastavte na existujúcu cestu, kam chcete, aby boli archívy protokolových súborov
  • $mailMsgServer – Nastavte na platný server SMTP
  • $mailMsgFrom – Nastavte na platnú e-mailovú adresu FROM
  • $MailMsgTo – Nastavte na platnú e-mailovú adresu TO
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Čítať : Ako naplánovať skript PowerShell v Plánovači úloh

Ak chcete, môžete použiť súbor XML na nastavenie spúšťania skriptu každú hodinu. Na tento účel uložte nasledujúci kód do súboru XML a potom importovať do Plánovača úloh . Uistite sa, že ste zmenili do priečinka/názvu súboru, do ktorého ste skript uložili.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Čítať: Úloha XML obsahuje hodnotu, ktorá je nesprávne pripojená alebo je mimo rozsahu

naplánovať body obnovenia systému Windows 10

Keď povolíte alebo nakonfigurujete archiváciu protokolov, najstaršie protokoly sa uložia a nebudú prepísané novšími protokolmi. Takže teraz bude systém Windows archivovať protokol, keď sa dosiahne maximálna veľkosť protokolu a uloží ho do adresára (ak nie je predvolený), ktorý ste určili. Archivovaný súbor bude pomenovaný v Archív-- formát, napr. Archív-Zabezpečenie-2023-02-14-18-05-34 . Archivovaný súbor je teraz možné použiť na sledovanie starších udalostí.

Čítať : Prečítajte si denník udalostí programu Windows Defender pomocou programu WinDefLogView

cortana vyhľadávacia lišta biela

3] Manuálne vymažte denník zabezpečenia

Manuálne vymažte denník zabezpečenia

Ak ste nastavili politiku uchovávania na Neprepisovať udalosti (ručné vymazanie denníkov) , budete musieť manuálne vymažte bezpečnostný denník pomocou ktorejkoľvek z nasledujúcich metód.

  • Prehliadač udalostí
  • Nástroj WEVTUTIL.exe
  • Dávkový súbor

To je všetko!

Teraz čítajte : Chýbajúce udalosti v denníku udalostí

Aké ID udalosti bol zistený malvér?

Denník bezpečnostných udalostí systému Windows ID 4688 naznačuje, že v systéme bol zistený malvér. Napríklad, ak je vo vašom systéme Windows prítomný malvér, udalosť vyhľadávania 4688 odhalí všetky procesy spustené týmto zlým programom. S týmito informáciami môžete vykonať rýchle skenovanie, naplánujte kontrolu programu Windows Defender , alebo spustite skenovanie Defender offline .

Aké je bezpečnostné ID pre udalosť prihlásenia?

V Zobrazovači udalostí, ID udalosti 4624 bude prihlásený pri každom úspešnom pokuse o prihlásenie do lokálneho počítača. Táto udalosť sa generuje na počítači, ku ktorému sa pristupovalo, inými slovami, kde bola vytvorená prihlasovacia relácia. Udalosť Typ prihlásenia 11: CachedInteractive označuje používateľa prihláseného do počítača pomocou sieťových poverení, ktoré boli uložené lokálne v počítači. Radič domény nebol kontaktovaný na overenie poverení.

Čítať : Služba denníka udalostí systému Windows sa nespúšťa alebo je nedostupná .

Kategórie
Denníky udalostí
Odporúčaná
Ako vybrať text vertikálne v programe Poznámkový blok ++
Ako vybrať text vertikálne v programe Poznámkový blok ++
Zápisník
Chyba pri kopírovaní súboru alebo priečinka, požadovaná hodnota sa nedá určiť
Chyba pri kopírovaní súboru alebo priečinka, požadovaná hodnota sa nedá určiť
Windows
Ako sfalšovať IP adresu Windows 10?
Ako sfalšovať IP adresu Windows 10?
Blog
Ako automaticky otvárať určité stránky na viacerých kartách pri spustení prehliadača
Ako automaticky otvárať určité stránky na viacerých kartách pri spustení prehliadača
Generál
Populárne Príspevky
O Nás
Prankmike Poskytuje Rady, Pokyny, Pokyny Pre Windows 10, Funkcie A Slobodného Softvéru.
Kategórie
Najviac Videné
Copyright © 2024Všetky Práva Vyhradené | prankmike.com | Zásady Ochrany Osobných Údajov