V pregledovalniku dogodkov so zabeležene napake pogoste in naleteli boste na različne napake z različnimi ID-ji dogodkov. Dogodki, ki so zabeleženi v varnostnih dnevnikih, so običajno ena od ključnih besed Uspeh revizije ali neuspeh revizije . V tej objavi bomo razpravljali Varnostni dnevnik je zdaj poln (ID dogodka 1104) vključno s tem, zakaj se ta dogodek sproži, in dejanji, ki jih lahko izvedete v tej situaciji, bodisi na odjemalskem ali strežniškem računalniku.
Kot navaja opis dogodka, se ta dogodek ustvari vsakič, ko se varnostni dnevnik Windows napolni. Na primer, če je bila dosežena največja velikost datoteke dnevnika varnostnih dogodkov in je metoda hrambe dnevnika dogodkov Ne prepiši dogodkov (ročno počisti dnevnike) kot je opisano v tem Microsoftova dokumentacija . V nastavitvah dnevnika varnostnih dogodkov so na voljo naslednje možnosti:
- Po potrebi prepišite dogodke (najprej najstarejši dogodki) – To je privzeta nastavitev. Ko je dosežena največja velikost dnevnika, bodo starejši elementi izbrisani, da se naredi prostor za nove elemente.
- Arhivirajte dnevnik, ko je poln, ne prepisujte dogodkov – Če izberete to možnost, bo Windows samodejno shranil dnevnik, ko bo dosežena največja velikost dnevnika, in ustvaril novega. Dnevnik bo arhiviran povsod, kjer je varnostni dnevnik shranjen. Privzeto bo to na naslednji lokaciji %SystemRoot%\SYSTEM32\WINEVT\LOGS . Ogledate si lahko lastnosti pregledovalnika dogodkov za prijavo, da določite natančno lokacijo.
- Ne prepiši dogodkov (ročno počisti dnevnike) – Če izberete to možnost in dnevnik dogodkov doseže največjo velikost, se ne bodo zapisovali nobeni nadaljnji dogodki, dokler dnevnika ne počistite ročno.
Če želite preveriti ali spremeniti nastavitve dnevnika varnostnih dogodkov, bi bila prva stvar, ki bi jo morda želeli spremeniti Največja velikost dnevnika (KB) – največja velikost dnevniške datoteke je 20 MB (20480 KB). Poleg tega se odločite za svojo politiko hrambe, kot je opisano zgoraj.
Varnostni dnevnik je zdaj poln (ID dogodka 1104)
Ko je zgornja meja velikosti datoteke varnostnega dnevnika dogodkov dosežena in ni prostora za beleženje več dogodkov, ID dogodka 1104: varnostni dnevnik je zdaj poln se bo zabeležilo, kar pomeni, da je dnevniška datoteka polna, in morate izvesti katero koli od naslednjih takojšnjih dejanj.
- Omogoči prepis dnevnika v pregledovalniku dogodkov
- Arhivirajte varnostni dnevnik dogodkov Windows
- Ročno počistite varnostni dnevnik
Oglejmo si ta priporočena dejanja podrobno.
1] Omogoči prepis dnevnika v pregledovalniku dogodkov
Privzeto je varnostni dnevnik konfiguriran tako, da po potrebi prepiše dogodke. Ko vklopite možnost prepisovanja dnevnikov, bo to omogočilo pregledovalniku dogodkov, da prepiše stare dnevnike in tako prepreči, da bi se pomnilnik zapolnil. Torej se morate prepričati, da je ta možnost omogočena, tako da sledite tem korakom:
- Pritisnite Tipka Windows + R da prikličete pogovorno okno Zaženi.
- V pogovorno okno Zaženi vnesite eventvwr in pritisnite Enter, da odprete pregledovalnik dogodkov.
- Razširi Dnevniki Windows .
- Kliknite Varnost .
- V desnem podoknu pod Dejanja meni, izberite Lastnosti . Druga možnost je, da z desno miškino tipko kliknete Varnostni dnevnik v levem podoknu za krmarjenje in izberite Lastnosti .
- Zdaj, pod Ko je dosežena največja velikost dnevnika dogodkov izberite izbirni gumb za Po potrebi prepišite dogodke (najprej najstarejši dogodki) možnost.
- Kliknite Prijavite se > v redu .
Preberi : Kako si podrobno ogledati dnevnike dogodkov v sistemu Windows
2] Arhivirajte varnostni dnevnik dogodkov sistema Windows
V varnostno ozaveščenem okolju (zlasti v podjetju/organizaciji) bo morda potrebno ali zahtevano arhiviranje varnostnega dnevnika dogodkov sistema Windows. To lahko storite prek pregledovalnika dogodkov, kot je prikazano zgoraj, tako da izberete Arhivirajte dnevnik, ko je poln, ne prepisujte dogodkov možnost ali po ustvarjanje in izvajanje skripta PowerShell z uporabo spodnje kode. Skript PowerShell bo preveril velikost dnevnika varnostnih dogodkov in ga po potrebi arhiviral. Koraki, ki jih izvede skript, so naslednji:
- Če je dnevnik varnostnih dogodkov manjši od 250 MB, se informativni dogodek zapiše v dnevnik dogodkov aplikacije
- Če je dnevnik večji od 250 MB
- Dnevnik je arhiviran v D:\Logs\OS.
- Če operacija arhiviranja ne uspe, se dogodek napake zapiše v dnevnik dogodkov aplikacije in pošlje e-poštno sporočilo.
- Če operacija arhiviranja uspe, se v dnevnik dogodkov aplikacije zapiše informativni dogodek in pošlje e-poštno sporočilo.
Preden uporabite skript v svojem okolju, konfigurirajte naslednje spremenljivke:
- $ArchiveSize – nastavite želeno omejitev velikosti dnevnika (MB)
- $ArchiveFolder – nastavite na obstoječo pot, kamor želite shraniti arhive dnevniških datotek
- $mailMsgServer – Nastavite na veljaven strežnik SMTP
- $mailMsgFrom – nastavite na veljaven e-poštni naslov FROM
- $MailMsgTo – nastavite na veljaven e-poštni naslov ZA
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Preberi : Kako načrtovati skript PowerShell v razporejevalniku opravil
Če želite, lahko uporabite datoteko XML, da nastavite skript, da se izvaja vsako uro. Za to shranite naslednjo kodo v datoteko XML in nato uvozite v razporejevalnik opravil . Poskrbite za spremembo
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Preberite: XML opravila vsebuje vrednost, ki je nepravilno povezana ali je izven obsega
Ko omogočite ali konfigurirate arhiviranje dnevnikov, bodo najstarejši dnevniki shranjeni in ne bodo prepisani z novejšimi dnevniki. Zdaj bo Windows arhiviral dnevnik, ko bo dosežena največja velikost dnevnika, in ga shranil v imenik (če ni privzeti), ki ste ga določili. Arhivirana datoteka bo poimenovana v Arhiv-
Preberi : Preberite dnevnik dogodkov programa Windows Defender z WinDefLogView
3] Ročno počistite varnostni dnevnik
Če ste politiko hrambe nastavili na Ne prepiši dogodkov (ročno počisti dnevnike) , boste morali ročno počistite varnostni dnevnik s katero koli od naslednjih metod.
kako izklopiti vrstico za iskanje Cortana -
- Pregledovalnik dogodkov
- Pripomoček WEVTUTIL.exe
- Paketna datoteka
To je to!
Zdaj pa preberi : Manjkajoči dogodki v dnevniku dogodkov
Kateri ID dogodka je zaznana zlonamerna programska oprema?
Varnostni dnevnik dogodkov Windows ID 4688 kaže, da je bila v sistemu zaznana zlonamerna programska oprema. Na primer, če je v vašem sistemu Windows prisotna zlonamerna programska oprema, bo iskalni dogodek 4688 razkril vse procese, ki jih izvaja ta zlonamerni program. S temi informacijami lahko izvedete hiter pregled, načrtujte skeniranje programa Windows Defender , oz zaženite pregled Defender Offline .
Kakšen je varnostni ID za dogodek prijave?
V pregledovalniku dogodkov je ID dogodka 4624 bo prijavljen ob vsakem uspešnem poskusu prijave v lokalni računalnik. Ta dogodek se ustvari v računalniku, do katerega je bil dostopan, z drugimi besedami, kjer je bila ustvarjena prijavna seja. Dogodek Vrsta prijave 11: CachedInteractive označuje uporabnika, prijavljenega v računalnik z omrežnimi poverilnicami, ki so bile lokalno shranjene v računalniku. Krmilnik domene ni bil vzpostavljen za preverjanje poverilnic.
Preberi : Storitev dnevnika dogodkov Windows se ne zažene ali ni na voljo .
