Az Eseménynaplóban a naplózott hibák gyakoriak, és különböző eseményekkel találkozhat különböző eseményazonosítókkal. A biztonsági naplókban rögzített események általában a kulcsszavak valamelyike Az audit sikeressége vagy az ellenőrzési sikertelenség . Ebben a bejegyzésben megbeszéljük A biztonsági napló most megtelt (1104-es eseményazonosító) beleértve az esemény indításának okát és az ebben a helyzetben végrehajtható műveleteket, akár kliens, akár kiszolgáló gépen.
Ahogy az eseményleírás is jelzi, ez az esemény minden alkalommal generálódik, amikor a Windows biztonsági naplója megtelik. Például, ha elérte a biztonsági eseménynapló fájl maximális méretét, és az eseménynapló megőrzési módja a következő Ne írja felül az eseményeket (naplók manuális törlése) az ebben leírtak szerint Microsoft dokumentáció . A biztonsági eseménynapló beállításaiban a következők találhatók:
nimbus képernyőkép firefox
- Szükség szerint felülírja az eseményeket (először a legrégebbi eseményeket) – Ez az alapértelmezett beállítás. Amint eléri a maximális naplóméretet, a régebbi elemek törlődnek, hogy helyet adjanak az új elemeknek.
- Ha megtelt, archiválja a naplót, ne írja felül az eseményeket – Ha ezt a lehetőséget választja, a Windows automatikusan elmenti a naplót, amikor eléri a maximális naplóméretet, és létrehoz egy újat. A napló mindenhol archiválva lesz, ahol a biztonsági naplót tárolják. Alapértelmezés szerint ez a következő helyen lesz %SystemRoot%\SYSTEM32\WINEVT\LOGS . A pontos hely meghatározásához megtekintheti a bejelentkező Eseménynéző tulajdonságait.
- Ne írja felül az eseményeket (naplók manuális törlése) – Ha ezt a lehetőséget választja, és az eseménynapló eléri a maximális méretet, a napló manuális törlése előtt nem íródnak további események.
A biztonsági eseménynapló beállításainak ellenőrzéséhez vagy módosításához az első dolog, amit érdemes módosítani, az a Maximális naplóméret (KB) – a naplófájl maximális mérete 20 MB (20480 KB). Ezen túlmenően döntse el a megőrzési szabályzatot a fent leírtak szerint.
A biztonsági napló most megtelt (1104-es eseményazonosító)
Amikor elérte a biztonsági naplóesemény fájlméretének felső határát, és nincs hely további események naplózására, a 1104-es eseményazonosító: A biztonsági napló most megtelt naplózásra kerül, jelezve, hogy a naplófájl megtelt, és azonnal végre kell hajtania a következő műveletek bármelyikét.
- A napló felülírásának engedélyezése az Eseménynaplóban
- Archiválja a Windows biztonsági eseménynaplóját
- Manuálisan törölje a biztonsági naplót
Nézzük meg ezeket az ajánlott műveleteket részletesen.
1] A napló felülírásának engedélyezése az Eseménynaplóban
Alapértelmezés szerint a biztonsági napló úgy van beállítva, hogy szükség szerint felülírja az eseményeket. Ha bekapcsolja a naplók felülírása opciót, ez lehetővé teszi, hogy az Eseménynapló felülírja a régi naplókat, ezzel pedig megóvja a memóriát a megtelétől. Tehát az alábbi lépések végrehajtásával meg kell győződnie arról, hogy ez az opció engedélyezve van:
- megnyomni a Windows billentyű + R a Futtatás párbeszédpanel meghívásához.
- A Futtatás párbeszédpanelen írja be eventvwr és nyomja meg az Enter billentyűt az Eseménynapló megnyitásához.
- Kiterjed Windows naplók .
- Kattintson Biztonság .
- A jobb oldali ablaktáblán a Műveletek menüből válassza ki Tulajdonságok . Alternatív megoldásként kattintson a jobb gombbal a Biztonsági napló a bal oldali navigációs panelen, és válassza ki Tulajdonságok .
- Most, a Amikor elérte a maximális eseménynapló méretét szakaszban válassza ki a rádiógombot Szükség szerint felülírja az eseményeket (először a legrégebbi eseményeket) választási lehetőség.
- Kattintson Alkalmaz > rendben .
Olvas : Az eseménynaplók részletes megtekintése a Windows rendszerben
2] Archiválja a Windows biztonsági eseménynaplóját
Biztonságtudatos környezetben (főleg egy vállalatnál/szervezetnél) szükséges vagy kötelező lehet a Windows biztonsági eseménynapló archiválása. Ezt megteheti az Eseménynézőn keresztül, a fentiek szerint, a lehetőség kiválasztásával Ha megtelt, archiválja a naplót, ne írja felül az eseményeket opció, vagy által PowerShell-szkript létrehozása és futtatása az alábbi kód segítségével. A PowerShell-szkript ellenőrzi a biztonsági eseménynapló méretét, és szükség esetén archiválja. A szkript által végrehajtott lépések a következők:
- Ha a biztonsági eseménynapló 250 MB-nál kisebb, egy információs esemény kerül az alkalmazás eseménynaplójába
- Ha a napló 250 MB-nál nagyobb
- A napló a D:\Logs\OS mappába kerül archiválva.
- Ha az archiválási művelet meghiúsul, a rendszer egy hibaeseményt ír az alkalmazás eseménynaplójába, és egy e-mailt küld.
- Ha az archiválási művelet sikeres, a rendszer egy tájékoztató eseményt ír az alkalmazás eseménynaplójába, és egy e-mailt küld.
Mielőtt használná a szkriptet a környezetben, konfigurálja a következő változókat:
legjobb izoégő 2016
- $ArchiveSize – Állítsa be a kívánt naplóméret-korlátot (MB)
- $ArchiveFolder – Állítson be egy meglévő elérési utat, ahová a naplófájl-archívumot szeretné eljuttatni
- $mailMsgServer – Állítsa be egy érvényes SMTP-kiszolgálóra
- $mailMsgFrom – Állítsa be egy érvényes FROM e-mail címre
- $MailMsgTo – Állítsa be egy érvényes TO e-mail címre
# Set the archive location $ArchiveFolder = "D:\Logs\OS" # How big can the security event log get in MB before we automatically archive? $ArchiveSize = 250 # Verify the archive folder exists If (!(Test-Path $ArchiveFolder)) { Write-Host Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red Exit } # Configure environment $sysName = $env:computername $eventName = "Security Event Log Monitoring" $mailMsgServer = "your.smtp.server.name" $mailMsgSubject = "$sysName Security Event Log Monitoring" $mailMsgFrom = "[email protected]" $mailMsgTo = "[email protected]" # Add event source to application log if necessary If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { New-EventLog -LogName Application -Source $eventName } # Check the security log $Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'" $SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2) $SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2) Write-Host # Archive the security log if over the limit If ($SizeCurrentMB -gt $ArchiveSize) { $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt" $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB." $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue If ($Results -eq 0) { # Successful backup of security event log $Results = ($Log.ClearEventlog()).ReturnValue $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } Else { $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!" Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } } Else { # Write an informational event to the application event log $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 } # Close the log $Log.Dispose()
Olvas : A PowerShell-szkript ütemezése a Feladatütemezőben
Ha szeretné, egy XML-fájl segítségével beállíthatja, hogy a szkript óránként fusson. Ehhez mentse el a következő kódot egy XML fájlba, majd importálja a Feladatütemezőbe . Ügyeljen arra, hogy módosítsa a <Érvek> szakaszban a mappa/fájlnévhez, ahová a szkriptet mentette.
<?xml version="1.0" encoding="UTF-16"?> <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2017-01-18T16:41:30.9576112</Date> <Description>Monitor security event log. Archive and clear log if threshold is met.</Description> </RegistrationInfo> <Triggers> <CalendarTrigger> <Repetition> <Interval>PT2H</Interval> <StopAtDurationEnd>false</StopAtDurationEnd> </Repetition> <StartBoundary>2017-01-18T00:00:00</StartBoundary> <ExecutionTimeLimit>PT30M</ExecutionTimeLimit> <Enabled>true</Enabled> <ScheduleByDay> <DaysInterval>1</DaysInterval> </ScheduleByDay> </CalendarTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>S-1-5-18</UserId> <RunLevel>HighestAvailable</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>true</AllowHardTerminate> <StartWhenAvailable>false</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession> <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>P3D</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command> <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments> </Exec> </Actions> </Task>
Olvas: A Task XML olyan értéket tartalmaz, amely hibásan van csatlakoztatva vagy tartományon kívül esik
Miután engedélyezte vagy konfigurálta a naplók archiválását, a legrégebbi naplók mentésre kerülnek, és nem íródnak felül újabb naplókkal. Így mostantól kezdve a Windows archiválja a naplót, amikor eléri a maximális naplóméretet, és elmenti az Ön által megadott könyvtárba (ha nem az alapértelmezett). Az archivált fájl neve ebben lesz Archívum-
Olvas : Olvassa el a Windows Defender eseménynaplóját a WinDefLogView segítségével
3] Manuálisan törölje a biztonsági naplót
Ha a megőrzési házirendet értékre állította Ne írja felül az eseményeket (naplók manuális törlése) , szüksége lesz rá kézzel törölje a biztonsági naplót az alábbi módszerek bármelyikével.
- Eseménynéző
- WEVTUTIL.exe segédprogram
- Batch file
Ez az!
yandex mail áttekintés
Most olvass : Hiányzó események az eseménynaplóban
Milyen eseményazonosítót észlelt a rosszindulatú program?
A Windows biztonsági eseménynapló 4688-as azonosítója azt jelzi, hogy rosszindulatú programokat észleltek a rendszeren. Például, ha rosszindulatú program van jelen a Windows rendszeren, a 4688-as esemény keresése felfedi a rossz szándékú program által végrehajtott folyamatokat. Ezen információk birtokában gyors vizsgálatot végezhet, ütemezze be a Windows Defender vizsgálatát , vagy futtasson egy Defender Offline vizsgálatot .
Mi a bejelentkezési esemény biztonsági azonosítója?
Az Eseménynézőben a Eseményazonosító 4624 minden sikeres bejelentkezési kísérletkor bejelentkezik a helyi számítógépre. Ez az esemény azon a számítógépen jön létre, amelyhez hozzáfértek, vagyis ahol a bejelentkezési munkamenetet létrehozták. Az esemény 11. bejelentkezési típus: CachedInteractive olyan felhasználót jelöl, aki a számítógépen helyileg tárolt hálózati hitelesítő adatokkal jelentkezett be a számítógépre. A tartományvezérlővel nem vették fel a kapcsolatot a hitelesítő adatok ellenőrzése érdekében.
Olvas : A Windows Eseménynapló szolgáltatás nem indul el, vagy nem érhető el .