Jurnalul de securitate este acum plin (ID eveniment 1104)

Jurnalul De Securitate Este Acum Plin Id Eveniment 1104



În Vizualizatorul de evenimente, erorile înregistrate sunt comune și veți întâlni diferite erori cu ID-uri de eveniment diferite. Evenimentele care sunt înregistrate în jurnalele de securitate vor fi de obicei oricare dintre cuvintele cheie Succesul auditului sau eșecul auditului . În această postare vom discuta Jurnalul de securitate este acum plin (ID eveniment 1104) inclusiv de ce este declanșat acest eveniment și acțiunile pe care le puteți efectua în această situație, fie pe o mașină client sau server.



Jurnalul de securitate este acum plin (ID eveniment 1104)



Eroare timp de execuție 1004 excel 2010

După cum indică descrierea evenimentului, acest eveniment se generează de fiecare dată când jurnalul de securitate Windows devine plin. De exemplu, dacă dimensiunea maximă a fișierului Jurnal de evenimente de securitate a fost atinsă și metoda de păstrare a jurnalului de evenimente este Nu suprascrieți evenimentele (Ștergeți jurnalele manual) asa cum este descris in aceasta documentația Microsoft . Următoarele sunt opțiunile din setările jurnalului de evenimente de securitate:



  • Suprascrie evenimentele după cum este necesar (cele mai vechi evenimente mai întâi) – Aceasta este setarea implicită. Odată ce dimensiunea maximă a jurnalului este atinsă, elementele mai vechi vor fi șterse pentru a face loc articolelor noi.
  • Arhivați jurnalul când este plin, nu suprascrieți evenimentele – Dacă selectați această opțiune, Windows va salva automat jurnalul când este atinsă dimensiunea maximă a jurnalului și va crea unul nou. Jurnalul va fi arhivat oriunde este stocat jurnalul de securitate. În mod implicit, acesta va fi în următoarea locație %SystemRoot%\SYSTEM32\WINEVT\LOGS . Puteți vizualiza proprietățile Vizualizatorului de evenimente de conectare pentru a determina locația exactă.
  • Nu suprascrieți evenimentele (Ștergeți jurnalele manual) – Dacă selectați această opțiune și jurnalul de evenimente atinge dimensiunea maximă, nu vor fi scrise alte evenimente până când jurnalul este șters manual.

Pentru a verifica sau modifica setările jurnalului de evenimente de securitate, primul lucru pe care poate doriți să îl schimbați ar fi Dimensiunea maximă a jurnalului (KB) – dimensiunea maximă a fișierului jurnal este de 20 MB (20480 KB). În plus, decideți asupra politicii dvs. de reținere, conform celor prezentate mai sus.



Jurnalul de securitate este acum plin (ID eveniment 1104)

Când este atinsă limita superioară a dimensiunii fișierului de jurnal de securitate și nu există spațiu pentru a înregistra mai multe evenimente, ID eveniment 1104: jurnalul de securitate este acum plin va fi înregistrat, indicând faptul că fișierul jurnal este plin și trebuie să efectuați oricare dintre următoarele acțiuni imediate.

  1. Activați suprascrierea jurnalului în Vizualizatorul de evenimente
  2. Arhivați jurnalul de evenimente de securitate Windows
  3. Ștergeți manual jurnalul de securitate

Să vedem aceste acțiuni recomandate în detaliu.

1] Activați suprascrierea jurnalului în Vizualizatorul de evenimente

Activați suprascrierea jurnalului în Vizualizatorul de evenimente



În mod implicit, jurnalul de securitate este configurat pentru a suprascrie evenimentele după cum este necesar. Când activați opțiunea de suprascriere a jurnalelor, acest lucru va permite Vizualizatorului de evenimente să suprascrie jurnalele vechi, salvând la rândul său memoria de la umplerea. Deci, trebuie să vă asigurați că această opțiune este activată urmând acești pași:

  • apasă pe Tasta Windows + R pentru a invoca dialogul Run.
  • În caseta de dialog Run, tastați eventvwr și apăsați Enter pentru a deschide Event Viewer.
  • Extinde Jurnalele Windows .
  • Clic Securitate .
  • În panoul din dreapta, sub Acțiuni meniu, selectați Proprietăți . Alternativ, faceți clic dreapta pe Jurnal de securitate în panoul de navigare din stânga și selectați Proprietăți .
  • Acum, sub Când este atinsă dimensiunea maximă a jurnalului de evenimente secțiunea, selectați butonul radio pentru Suprascrie evenimentele după cum este necesar (cele mai vechi evenimente mai întâi) opțiune.
  • Clic aplica > Bine .

Citit : Cum să vizualizați jurnalele de evenimente în Windows în detaliu

2] Arhivați jurnalul de evenimente de securitate Windows

Într-un mediu conștient de securitate (în special într-o întreprindere/organizație), ar putea fi necesară sau obligatorie arhivarea jurnalului de evenimente de securitate Windows. Acest lucru se poate face prin Vizualizatorul de evenimente, așa cum se arată mai sus, selectând Arhivați jurnalul când este plin, nu suprascrieți evenimentele opțiune, sau prin crearea și rularea unui script PowerShell folosind codul de mai jos. Scriptul PowerShell va verifica dimensiunea jurnalului de evenimente de securitate și îl va arhiva dacă este necesar. Pașii efectuati de script sunt următorii:

truc de vopsea ms
  • Dacă jurnalul de evenimente de securitate este sub 250 MB, un eveniment informațional este scris în jurnalul de evenimente al aplicației
  • Dacă jurnalul depășește 250 MB
    • Jurnalul este arhivat în D:\Logs\OS.
    • Dacă operațiunea de arhivare eșuează, un eveniment de eroare este scris în jurnalul de evenimente al aplicației și este trimis un e-mail.
    • Dacă operațiunea de arhivare reușește, un eveniment informațional este scris în jurnalul de evenimente al aplicației și este trimis un e-mail.

Înainte de a utiliza scriptul în mediul dvs., configurați următoarele variabile:

  • $ArchiveSize – Setați limita de dimensiune a jurnalului dorită (MB)
  • $ArchiveFolder – Setați o cale existentă în care doriți să meargă arhivele fișierelor jurnal
  • $mailMsgServer – Setați la un server SMTP valid
  • $mailMsgFrom – Setați la o adresă de e-mail FROM validă
  • $MailMsgTo – Setați la o adresă de e-mail TO validă
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Citit : Cum să programați scriptul PowerShell în Task Scheduler

Dacă doriți, puteți utiliza un fișier XML pentru a seta scriptul să ruleze la fiecare oră. Pentru aceasta, salvați următorul cod într-un fișier XML și apoi importați-l în Task Scheduler . Asigurați-vă că schimbați secțiunea către folderul/numele fișierului în care ați salvat scriptul.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Citit: Task XML conține o valoare care este conectată incorect sau în afara intervalului

După ce ați activat sau configurat arhivarea jurnalelor, cele mai vechi jurnale vor fi salvate și nu vor fi suprascrise cu jurnale mai noi. Deci, de acum încolo, Windows va arhiva jurnalul când este atinsă dimensiunea maximă a jurnalului și îl va salva în directorul (dacă nu este cel implicit) pe care l-ați specificat. Fișierul arhivat va fi numit în Arhivă-- format, de exemplu, Arhiva-Securitate-2023-02-14-18-05-34 . Fișierul arhivat poate fi folosit acum pentru a urmări evenimentele mai vechi.

apel de datorie pentru windows 10

Citit : Citiți jurnalul de evenimente Windows Defender folosind WinDefLogView

3] Ștergeți manual jurnalul de securitate

Ștergeți manual jurnalul de securitate

Dacă ați setat politica de păstrare la Nu suprascrieți evenimentele (Ștergeți jurnalele manual) , va trebui sa ștergeți manual jurnalul de securitate folosind oricare dintre următoarele metode.

  • Vizualizator de eveniment
  • Utilitarul WEVTUTIL.exe
  • Fișier lot

Asta este!

Acum citește : Evenimente lipsă din jurnalul de evenimente

Ce ID de eveniment este detectat de malware?

ID-ul jurnalului de evenimente de securitate Windows 4688 indică malware a fost detectat pe sistem. De exemplu, dacă există programe malware pe sistemul dvs. Windows, căutarea evenimentului 4688 va dezvălui orice procese executate de acel program neintenționat. Cu aceste informații, puteți efectua o scanare rapidă, programați o scanare Windows Defender , sau rulați o scanare Defender Offline .

Care este ID-ul de securitate pentru evenimentul de conectare?

În Vizualizatorul de evenimente, ID eveniment 4624 va fi conectat la fiecare încercare reușită de conectare la un computer local. Acest eveniment este generat pe computerul care a fost accesat, cu alte cuvinte, unde a fost creată sesiunea de conectare. Evenimentul Tip de conectare 11: CachedInteractive indică un utilizator conectat la un computer cu acreditări de rețea care au fost stocate local pe computer. Controlerul de domeniu nu a fost contactat pentru a verifica acreditările.

Citit : Serviciul de jurnal de evenimente Windows nu pornește sau este indisponibil .

Categorie
Jurnalele evenimentelor
Recomandat
Dead Cells Nu s-a putut încărca biblioteca steam.hdll
Dead Cells Nu s-a putut încărca biblioteca steam.hdll
Jocuri
Advanced System Font Changer vă permite să schimbați fontul de sistem în Windows 10
Advanced System Font Changer vă permite să schimbați fontul de sistem în Windows 10
Descărcări
Conectarea contului Steam blocat [Remediere]
Conectarea contului Steam blocat [Remediere]
Aburi
Nu există sunet în Internet Explorer 11 pe Windows 10
Nu există sunet în Internet Explorer 11 pe Windows 10
Diverse
Posturi Populare
Despre Noi
Prankmike Oferă Sfaturi, Ghiduri, Instrucțiuni Pentru Windows 10, Funcții Și Software-Ul Liber.
Categorii
Cele Mai Văzute
Copyright © 2024Toate Drepturile Rezervate | prankmike.com | Politica De Confidențialitate