I Event Viewer er feilene som er logget vanlige, og du vil komme over forskjellige feil med forskjellige hendelses-IDer. Hendelsene som registreres i sikkerhetsloggene vil vanligvis være et av nøkkelordene Revisjonssuksess eller revisjonsfeil . I dette innlegget vil vi diskutere Sikkerhetsloggen er nå full (Hendelses-ID 1104) inkludert hvorfor denne hendelsen utløses og handlingene du kan utføre i denne situasjonen enten på en klient- eller servermaskin.
Som hendelsesbeskrivelsen indikerer, genereres denne hendelsen hver gang Windows-sikkerhetsloggen blir full. For eksempel, hvis maksimal størrelse på sikkerhetshendelsesloggfilen ble nådd og oppbevaringsmetoden for hendelsesloggen er Ikke overskriv hendelser (tøm logger manuelt) som beskrevet i denne Microsoft dokumentasjon . Følgende er alternativene i innstillingene for sikkerhetshendelseslogg:
netsh int tcp set global autotuninglevel deaktivere
- Overskriv hendelser etter behov (eldste hendelser først) – Dette er standardinnstillingen. Når maksimal loggstørrelse er nådd, vil eldre elementer bli slettet for å gjøre plass til nye elementer.
- Arkiver loggen når den er full, ikke overskriv hendelser – Hvis du velger dette alternativet, vil Windows automatisk lagre loggen når maksimal loggstørrelse er nådd og opprette en ny. Loggen vil bli arkivert uansett hvor sikkerhetsloggen lagres. Som standard vil dette være på følgende plassering %SystemRoot%\SYSTEM32\WINEVT\LOGS . Du kan se egenskapene til hendelsesvisningen for pålogging for å finne den nøyaktige plasseringen.
- Ikke overskriv hendelser (tøm logger manuelt) – Hvis du velger dette alternativet og hendelsesloggen når maksimal størrelse, vil ingen flere hendelser bli skrevet før loggen slettes manuelt.
For å sjekke eller endre innstillingene for sikkerhetshendelseslogger, er det første du kanskje vil endre Maksimal loggstørrelse (KB) – maksimal loggfilstørrelse er 20 MB (20480 KB). Utover det, bestem deg for oppbevaringspolitikken din som beskrevet ovenfor.
Sikkerhetsloggen er nå full (Hendelses-ID 1104)
Når den øvre grensen for filstørrelsen for sikkerhetslogghendelser er nådd, og det ikke er plass til å logge flere hendelser, Hendelses-ID 1104: Sikkerhetsloggen er nå full vil bli logget som indikerer at loggfilen er full, og du må utføre noen av følgende umiddelbare handlinger.
- Aktiver loggoverskriving i Event Viewer
- Arkiver Windows sikkerhetshendelsesloggen
- Tøm sikkerhetsloggen manuelt
La oss se disse anbefalte handlingene i detalj.
1] Aktiver loggoverskriving i Event Viewer
zawgyi font for vindu 10
Som standard er sikkerhetsloggen konfigurert til å overskrive hendelser etter behov. Når du slår på alternativet for overskriving av logger, vil dette tillate Event Viewer å overskrive de gamle loggene, og i sin tur spare minnet fra å bli fullt. Så du må sørge for at dette alternativet er aktivert ved å følge disse trinnene:
- trykk Windows-tast + R for å starte dialogboksen Kjør.
- Skriv inn i dialogboksen Kjør eventvwr og trykk Enter for å åpne Event Viewer.
- Utvide Windows-logger .
- Klikk Sikkerhet .
- På høyre rute, under Handlinger meny, velg Egenskaper . Alternativt kan du høyreklikke på Sikkerhetslogg i venstre navigasjonsrute og velg Egenskaper .
- Nå, under Når maksimal størrelse på hendelsesloggen er nådd seksjon, velg alternativknappen for Overskriv hendelser etter behov (eldste hendelser først) alternativ.
- Klikk Søke om > OK .
Lese : Slik viser du hendelseslogger i Windows i detalj
2] Arkiver Windows-sikkerhetshendelsesloggen
I et sikkerhetsbevisst miljø (spesielt i en bedrift/organisasjon) kan det være nødvendig eller pålagt å arkivere Windows-sikkerhetshendelsesloggen. Dette kan gjøres via Event Viewer som vist ovenfor ved å velge Arkiver loggen når den er full, ikke overskriv hendelser alternativ, eller etter opprette og kjøre et PowerShell-skript ved å bruke koden nedenfor. PowerShell-skriptet vil sjekke størrelsen på sikkerhetshendelsesloggen og arkivere den om nødvendig. Trinnene som utføres av skriptet er som følger:
- Hvis sikkerhetshendelsesloggen er under 250 MB, skrives en informasjonshendelse til applikasjonshendelsesloggen
- Hvis loggen er over 250 MB
- Loggen arkiveres til D:\Logs\OS.
- Hvis arkiveringsoperasjonen mislykkes, skrives en feilhendelse til applikasjonshendelsesloggen og en e-post sendes.
- Hvis arkiveringsoperasjonen lykkes, skrives en informasjonshendelse til applikasjonshendelsesloggen og en e-post sendes.
Før du bruker skriptet i miljøet ditt, må du konfigurere følgende variabler:
Firefox deaktivere maskinvareakselerasjon
- $ArchiveSize – Sett til ønsket loggstørrelsesgrense (MB)
- $ArchiveFolder – Sett til en eksisterende bane der du vil at loggfilarkivene skal gå
- $mailMsgServer – Sett til en gyldig SMTP-server
- $mailMsgFrom – Sett til en gyldig FROM-e-postadresse
- $MailMsgTo – Sett til en gyldig TIL-e-postadresse
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Lese : Hvordan planlegge PowerShell-skript i Task Scheduler
Hvis du vil, kan du bruke en XML-fil til å sette skriptet til å kjøre hver time. For dette, lagre følgende kode i en XML-fil og deretter importer den til Task Scheduler . Sørg for å endre
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Lese: Oppgave-XML inneholder en verdi som er feil tilkoblet eller utenfor rekkevidde
Når du har aktivert eller konfigurert arkivering av loggene, vil de eldste loggene bli lagret og vil ikke bli overskrevet med nyere logger. Så nå og fremover vil Windows arkivere loggen når maksimal loggstørrelse er nådd og lagre den i katalogen (hvis ikke standard) du har spesifisert. Den arkiverte filen vil bli navngitt i Arkiv-
Lese : Les Windows Defender Event Log med WinDefLogView
3] Tøm sikkerhetsloggen manuelt
Hvis du har satt oppbevaringspolicyen til Ikke overskriv hendelser (tøm logger manuelt) , må du tømme sikkerhetsloggen manuelt ved å bruke en av følgende metoder.
- Event Viewer
- WEVTUTIL.exe-verktøyet
- Batch-fil
Det er det!
Les nå : Manglende hendelser i hendelsesloggen
auslogics valp
Hvilken hendelses-ID er skadelig programvare oppdaget?
Windows sikkerhetshendelseslogg-ID 4688 indikerer at skadelig programvare har blitt oppdaget på systemet. For eksempel, hvis det er skadelig programvare på Windows-systemet ditt, vil søkehendelse 4688 avsløre alle prosesser utført av det dårlige programmet. Med den informasjonen kan du utføre en rask skanning, planlegge en Windows Defender-skanning , eller kjøre en Defender Offline-skanning .
Hva er sikkerhets-IDen for påloggingshendelsen?
I Event Viewer er Hendelses-ID 4624 vil logges på hvert vellykket forsøk på å logge på en lokal datamaskin. Denne hendelsen genereres på datamaskinen som ble åpnet, med andre ord der påloggingsøkten ble opprettet. Hendelsen Påloggingstype 11: CachedInteractive indikerer en bruker som er logget på en datamaskin med nettverkslegitimasjon som ble lagret lokalt på datamaskinen. Domenekontrolleren ble ikke kontaktet for å bekrefte legitimasjonen.
Lese : Windows Event Log Service starter ikke eller er utilgjengelig .
