Az Eseménynaplóban a naplózott hibák gyakoriak, és különböző eseményekkel találkozhat különböző eseményazonosítókkal. A biztonsági naplókban rögzített események általában a kulcsszavak valamelyike Az audit sikeressége vagy az ellenőrzési sikertelenség . Ebben a bejegyzésben megbeszéljük A biztonsági napló most megtelt (1104-es eseményazonosító) beleértve az esemény indításának okát és az ebben a helyzetben végrehajtható műveleteket, akár kliens, akár kiszolgáló gépen.
Ahogy az eseményleírás is jelzi, ez az esemény minden alkalommal generálódik, amikor a Windows biztonsági naplója megtelik. Például, ha elérte a biztonsági eseménynapló fájl maximális méretét, és az eseménynapló megőrzési módja a következő Ne írja felül az eseményeket (naplók manuális törlése) az ebben leírtak szerint Microsoft dokumentáció . A biztonsági eseménynapló beállításaiban a következők találhatók:
nimbus képernyőkép firefox
- Szükség szerint felülírja az eseményeket (először a legrégebbi eseményeket) – Ez az alapértelmezett beállítás. Amint eléri a maximális naplóméretet, a régebbi elemek törlődnek, hogy helyet adjanak az új elemeknek.
- Ha megtelt, archiválja a naplót, ne írja felül az eseményeket – Ha ezt a lehetőséget választja, a Windows automatikusan elmenti a naplót, amikor eléri a maximális naplóméretet, és létrehoz egy újat. A napló mindenhol archiválva lesz, ahol a biztonsági naplót tárolják. Alapértelmezés szerint ez a következő helyen lesz %SystemRoot%\SYSTEM32\WINEVT\LOGS . A pontos hely meghatározásához megtekintheti a bejelentkező Eseménynéző tulajdonságait.
- Ne írja felül az eseményeket (naplók manuális törlése) – Ha ezt a lehetőséget választja, és az eseménynapló eléri a maximális méretet, a napló manuális törlése előtt nem íródnak további események.
A biztonsági eseménynapló beállításainak ellenőrzéséhez vagy módosításához az első dolog, amit érdemes módosítani, az a Maximális naplóméret (KB) – a naplófájl maximális mérete 20 MB (20480 KB). Ezen túlmenően döntse el a megőrzési szabályzatot a fent leírtak szerint.
A biztonsági napló most megtelt (1104-es eseményazonosító)
Amikor elérte a biztonsági naplóesemény fájlméretének felső határát, és nincs hely további események naplózására, a 1104-es eseményazonosító: A biztonsági napló most megtelt naplózásra kerül, jelezve, hogy a naplófájl megtelt, és azonnal végre kell hajtania a következő műveletek bármelyikét.
- A napló felülírásának engedélyezése az Eseménynaplóban
- Archiválja a Windows biztonsági eseménynaplóját
- Manuálisan törölje a biztonsági naplót
Nézzük meg ezeket az ajánlott műveleteket részletesen.
1] A napló felülírásának engedélyezése az Eseménynaplóban
Alapértelmezés szerint a biztonsági napló úgy van beállítva, hogy szükség szerint felülírja az eseményeket. Ha bekapcsolja a naplók felülírása opciót, ez lehetővé teszi, hogy az Eseménynapló felülírja a régi naplókat, ezzel pedig megóvja a memóriát a megtelétől. Tehát az alábbi lépések végrehajtásával meg kell győződnie arról, hogy ez az opció engedélyezve van:
- megnyomni a Windows billentyű + R a Futtatás párbeszédpanel meghívásához.
- A Futtatás párbeszédpanelen írja be eventvwr és nyomja meg az Enter billentyűt az Eseménynapló megnyitásához.
- Kiterjed Windows naplók .
- Kattintson Biztonság .
- A jobb oldali ablaktáblán a Műveletek menüből válassza ki Tulajdonságok . Alternatív megoldásként kattintson a jobb gombbal a Biztonsági napló a bal oldali navigációs panelen, és válassza ki Tulajdonságok .
- Most, a Amikor elérte a maximális eseménynapló méretét szakaszban válassza ki a rádiógombot Szükség szerint felülírja az eseményeket (először a legrégebbi eseményeket) választási lehetőség.
- Kattintson Alkalmaz > rendben .
Olvas : Az eseménynaplók részletes megtekintése a Windows rendszerben
2] Archiválja a Windows biztonsági eseménynaplóját
Biztonságtudatos környezetben (főleg egy vállalatnál/szervezetnél) szükséges vagy kötelező lehet a Windows biztonsági eseménynapló archiválása. Ezt megteheti az Eseménynézőn keresztül, a fentiek szerint, a lehetőség kiválasztásával Ha megtelt, archiválja a naplót, ne írja felül az eseményeket opció, vagy által PowerShell-szkript létrehozása és futtatása az alábbi kód segítségével. A PowerShell-szkript ellenőrzi a biztonsági eseménynapló méretét, és szükség esetén archiválja. A szkript által végrehajtott lépések a következők:
- Ha a biztonsági eseménynapló 250 MB-nál kisebb, egy információs esemény kerül az alkalmazás eseménynaplójába
- Ha a napló 250 MB-nál nagyobb
- A napló a D:\Logs\OS mappába kerül archiválva.
- Ha az archiválási művelet meghiúsul, a rendszer egy hibaeseményt ír az alkalmazás eseménynaplójába, és egy e-mailt küld.
- Ha az archiválási művelet sikeres, a rendszer egy tájékoztató eseményt ír az alkalmazás eseménynaplójába, és egy e-mailt küld.
Mielőtt használná a szkriptet a környezetben, konfigurálja a következő változókat:
legjobb izoégő 2016
- $ArchiveSize – Állítsa be a kívánt naplóméret-korlátot (MB)
- $ArchiveFolder – Állítson be egy meglévő elérési utat, ahová a naplófájl-archívumot szeretné eljuttatni
- $mailMsgServer – Állítsa be egy érvényes SMTP-kiszolgálóra
- $mailMsgFrom – Állítsa be egy érvényes FROM e-mail címre
- $MailMsgTo – Állítsa be egy érvényes TO e-mail címre
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Olvas : A PowerShell-szkript ütemezése a Feladatütemezőben
Ha szeretné, egy XML-fájl segítségével beállíthatja, hogy a szkript óránként fusson. Ehhez mentse el a következő kódot egy XML fájlba, majd importálja a Feladatütemezőbe . Ügyeljen arra, hogy módosítsa a <Érvek> szakaszban a mappa/fájlnévhez, ahová a szkriptet mentette.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Olvas: A Task XML olyan értéket tartalmaz, amely hibásan van csatlakoztatva vagy tartományon kívül esik
Miután engedélyezte vagy konfigurálta a naplók archiválását, a legrégebbi naplók mentésre kerülnek, és nem íródnak felül újabb naplókkal. Így mostantól kezdve a Windows archiválja a naplót, amikor eléri a maximális naplóméretet, és elmenti az Ön által megadott könyvtárba (ha nem az alapértelmezett). Az archivált fájl neve ebben lesz Archívum-
Olvas : Olvassa el a Windows Defender eseménynaplóját a WinDefLogView segítségével
3] Manuálisan törölje a biztonsági naplót
Ha a megőrzési házirendet értékre állította Ne írja felül az eseményeket (naplók manuális törlése) , szüksége lesz rá kézzel törölje a biztonsági naplót az alábbi módszerek bármelyikével.
- Eseménynéző
- WEVTUTIL.exe segédprogram
- Batch file
Ez az!
yandex mail áttekintés
Most olvass : Hiányzó események az eseménynaplóban
Milyen eseményazonosítót észlelt a rosszindulatú program?
A Windows biztonsági eseménynapló 4688-as azonosítója azt jelzi, hogy rosszindulatú programokat észleltek a rendszeren. Például, ha rosszindulatú program van jelen a Windows rendszeren, a 4688-as esemény keresése felfedi a rossz szándékú program által végrehajtott folyamatokat. Ezen információk birtokában gyors vizsgálatot végezhet, ütemezze be a Windows Defender vizsgálatát , vagy futtasson egy Defender Offline vizsgálatot .
Mi a bejelentkezési esemény biztonsági azonosítója?
Az Eseménynézőben a Eseményazonosító 4624 minden sikeres bejelentkezési kísérletkor bejelentkezik a helyi számítógépre. Ez az esemény azon a számítógépen jön létre, amelyhez hozzáfértek, vagyis ahol a bejelentkezési munkamenetet létrehozták. Az esemény 11. bejelentkezési típus: CachedInteractive olyan felhasználót jelöl, aki a számítógépen helyileg tárolt hálózati hitelesítő adatokkal jelentkezett be a számítógépre. A tartományvezérlővel nem vették fel a kapcsolatot a hitelesítő adatok ellenőrzése érdekében.
Olvas : A Windows Eseménynapló szolgáltatás nem indul el, vagy nem érhető el .
