Sigurnosni dnevnik je sada pun (ID događaja 1104)

Sigurnosni Dnevnik Je Sada Pun Id Dogadaja 1104



U Pregledniku događaja, pogreške koje se bilježe su uobičajene i naići ćete na različite pogreške s različitim ID-ovima događaja. Događaji koji se bilježe u sigurnosnim zapisima obično će biti bilo koja od ključnih riječi Uspjeh revizije ili neuspjeh revizije . U ovom ćemo postu raspravljati Sigurnosni dnevnik je sada pun (ID događaja 1104) uključujući zašto se ovaj događaj pokreće i radnje koje možete izvesti u ovoj situaciji bilo na klijentskom ili poslužiteljskom računalu.



Sigurnosni dnevnik je sada pun (ID događaja 1104)



Kao što je navedeno u opisu događaja, ovaj se događaj generira svaki put kada se sigurnosni dnevnik sustava Windows napuni. Na primjer, ako je dostignuta maksimalna veličina datoteke zapisnika sigurnosnih događaja, a metoda zadržavanja dnevnika događaja jest Nemoj prepisivati ​​događaje (Ručno brisanje zapisa) kako je opisano u ovome Microsoftova dokumentacija . Sljedeće su opcije u postavkama zapisnika sigurnosnih događaja:



  • Prebrišite događaje po potrebi (prvo najstariji događaji) – Ovo je zadana postavka. Kada se dosegne maksimalna veličina dnevnika, starije stavke će se izbrisati kako bi se napravilo mjesta za nove stavke.
  • Arhivirajte zapisnik kada je pun, nemojte prepisivati ​​događaje – Ako odaberete ovu opciju, Windows će automatski spremiti dnevnik kada se dosegne maksimalna veličina dnevnika i stvoriti novi. Dnevnik će se arhivirati gdje god se sigurnosni dnevnik pohranjuje. Prema zadanim postavkama, to će biti na sljedećem mjestu %SystemRoot%\SYSTEM32\WINEVT\LOGS . Možete pogledati svojstva preglednika događaja za prijavu kako biste odredili točnu lokaciju.
  • Nemoj prepisivati ​​događaje (Ručno brisanje zapisa) – Ako odaberete ovu opciju i zapisnik događaja dosegne maksimalnu veličinu, daljnji događaji neće biti upisani dok se zapisnik ručno ne izbriše.

Da biste provjerili ili izmijenili postavke dnevnika sigurnosnih događaja, prva stvar koju biste željeli promijeniti bila bi Maksimalna veličina dnevnika (KB) – maksimalna veličina datoteke dnevnika je 20 MB (20480 KB). Osim toga, odlučite o svojoj politici zadržavanja prema gore navedenom.



Sigurnosni dnevnik je sada pun (ID događaja 1104)

Kada se dostigne gornja granica veličine datoteke sigurnosnog dnevnika događaja i nema mjesta za zapisivanje više događaja, ID događaja 1104: Sigurnosni dnevnik je sada pun će se zabilježiti što znači da je datoteka zapisnika puna i da morate odmah izvršiti bilo koju od sljedećih radnji.

  1. Omogućite prepisivanje zapisnika u Pregledniku događaja
  2. Arhivirajte zapisnik sigurnosnih događaja sustava Windows
  3. Ručno izbrišite sigurnosni dnevnik

Pogledajmo ove preporučene radnje u detalje.

1] Omogućite prepisivanje zapisnika u Pregledniku događaja

Omogućite prepisivanje zapisnika u Pregledniku događaja



Prema zadanim postavkama, sigurnosni zapisnik konfiguriran je za brisanje događaja po potrebi. Kada uključite opciju prepisivanja zapisnika, to će omogućiti Pregledniku događaja da prebriše stare zapisnike, čime se čuva memorija od punjenja. Dakle, morate biti sigurni da je ova opcija omogućena slijedeći ove korake:

zaslon lozinke
  • pritisni Windows tipka + R za pozivanje dijaloga Pokreni.
  • U dijaloški okvir Pokreni upišite eventvwr i pritisnite Enter da otvorite Preglednik događaja.
  • Proširiti Dnevnici sustava Windows .
  • Klik Sigurnost .
  • Na desnom oknu, ispod Radnje izbornik, odaberite Svojstva . Alternativno, desnom tipkom miša kliknite na Sigurnosni dnevnik na lijevom navigacijskom oknu i odaberite Svojstva .
  • Sada, ispod Kada se dosegne maksimalna veličina dnevnika događaja odaberite radio gumb za Prebrišite događaje po potrebi (prvo najstariji događaji) opcija.
  • Klik primijeniti > u redu .

Čitati : Kako detaljno pregledati zapisnike događaja u sustavu Windows

2] Arhivirajte zapisnik sigurnosnih događaja sustava Windows

U sigurnosno osviještenom okruženju (posebno u poduzeću/organizaciji), može biti potrebno ili obavezno arhivirati zapisnik sigurnosnih događaja sustava Windows. To se može učiniti putem Preglednika događaja kao što je gore prikazano odabirom Arhivirajte zapisnik kada je pun, nemojte prepisivati ​​događaje opcija, ili po stvaranje i pokretanje PowerShell skripte pomoću donjeg koda. Skripta PowerShell provjerit će veličinu zapisnika sigurnosnih događaja i po potrebi ga arhivirati. Koraci koje izvodi skripta su sljedeći:

  • Ako je dnevnik sigurnosnih događaja manji od 250 MB, informativni događaj upisuje se u dnevnik događaja aplikacije
  • Ako je dnevnik veći od 250 MB
    • Dnevnik se arhivira u D:\Logs\OS.
    • Ako operacija arhiviranja ne uspije, događaj pogreške upisuje se u dnevnik događaja aplikacije i šalje se e-pošta.
    • Ako operacija arhiviranja uspije, u zapisnik događaja aplikacije upisuje se informativni događaj i šalje se e-pošta.

Prije korištenja skripte u vašem okruženju, konfigurirajte sljedeće varijable:

  • $ArchiveSize – Postavite željeno ograničenje veličine dnevnika (MB)
  • $ArchiveFolder – Postavite postojeću stazu na koju želite da ide arhiva datoteke dnevnika
  • $mailMsgServer – Postavite na važeći SMTP poslužitelj
  • $mailMsgFrom – Postavite valjanu adresu e-pošte FROM
  • $MailMsgTo – Postavite valjanu adresu e-pošte PRIMAtelja
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Čitati : Kako zakazati skriptu PowerShell u Planeru zadataka

Ako želite, možete koristiti XML datoteku da postavite skriptu da se pokreće svaki sat. U tu svrhu spremite sljedeći kod u XML datoteku, a zatim uvezite ga u Planer zadataka . Obavezno promijenite odjeljak do naziva mape/datoteke u koju ste spremili skriptu.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Čitati: XML zadatka sadrži vrijednost koja je neispravno povezana ili je izvan raspona

riječ flesch kincaid 2013

Nakon što omogućite ili konfigurirate arhiviranje zapisa, najstariji zapisi bit će spremljeni i neće biti prebrisani novijim zapisima. Pa nadalje, Windows će arhivirati dnevnik kada se dosegne maksimalna veličina dnevnika i spremiti ga u direktorij (ako nije zadani) koji ste naveli. Arhivirana datoteka bit će imenovana u Arhiva-- format, na primjer, Arhiva-Sigurnost-2023-02-14-18-05-34 . Arhivirana datoteka sada se može koristiti za praćenje starijih događaja.

Čitati : Čitajte dnevnik događaja programa Windows Defender koristeći WinDefLogView

3] Ručno izbrišite sigurnosni dnevnik

Ručno izbrišite sigurnosni dnevnik

Ako ste postavili politiku zadržavanja na Nemoj prepisivati ​​događaje (Ručno brisanje zapisa) , morat ćete ručno očistiti sigurnosni dnevnik pomoću bilo koje od sljedećih metoda.

  • Preglednik događaja
  • WEVTUTIL.exe pomoćni program
  • Skupna datoteka

To je to!

Sad čitaj : Događaji koji nedostaju u dnevniku događaja

Koji ID događaja je otkriven zlonamjerni softver?

Zapisnik sigurnosnih događaja u sustavu Windows ID 4688 pokazuje da je u sustavu otkriven zlonamjerni softver. Na primjer, ako je u vašem Windows sustavu prisutan zlonamjerni softver, događaj pretraživanja 4688 otkrit će sve procese koje je izvršio taj zlonamjerni program. S tim informacijama možete izvršiti brzo skeniranje, zakažite skeniranje Windows Defenderom , ili pokrenite Defender Offline skeniranje .

Koji je sigurnosni ID za događaj prijave?

U Pregledniku događaja, ID događaja 4624 bit će prijavljen pri svakom uspješnom pokušaju prijave na lokalno računalo. Ovaj događaj se generira na računalu kojem je pristupljeno, drugim riječima, na kojem je kreirana sesija prijave. Događaj Vrsta prijave 11: CachedInteractive označava korisnika koji je prijavljen na računalo s mrežnim vjerodajnicama koje su pohranjene lokalno na računalu. Kontrolor domene nije kontaktiran radi provjere vjerodajnica.

Čitati : Windows Event Log Service se ne pokreće ili nije dostupan .

Kategorija
Dnevnici događaja
Preporučeno
Windows ne može pronaći pogrešku C:Program Files prilikom otvaranja aplikacija u sustavu Windows 10
Windows ne može pronaći pogrešku C:Program Files prilikom otvaranja aplikacija u sustavu Windows 10
Windows
Što je Steam Guard i kako ga aktivirati da zaštitite svoj račun
Što je Steam Guard i kako ga aktivirati da zaštitite svoj račun
Općenito
Što je aplikacija Spooler SubSystem i zašto je upotreba procesora velika?
Što je aplikacija Spooler SubSystem i zašto je upotreba procesora velika?
Windows
Objava komentara na YouTubeu nije uspjela
Objava komentara na YouTubeu nije uspjela
Općenito
Popularni Postovi
O Nama
Prankmike Pruža Savjete, Smjernice, Upute Za Windows 10, Funkcijama I Slobodnog Softvera.
Kategorije
Nagledanije
Copyright © 2024Sva Prava Pridržana | prankmike.com | Izjava O Privatnosti