I Event Viewer er de loggede fejl almindelige, og du vil støde på forskellige fejl med forskellige hændelses-id'er. De hændelser, der registreres i sikkerhedslogfilerne, vil normalt være et af nøgleordene Revisionssucces eller revisionsfejl . I dette indlæg vil vi diskutere Sikkerhedsloggen er nu fuld (hændelses-id 1104) herunder hvorfor denne hændelse udløses, og de handlinger du kan udføre i denne situation, uanset om det er på en klient- eller servermaskine.
Som hændelsesbeskrivelsen angiver, genereres denne hændelse, hver gang Windows-sikkerhedsloggen bliver fuld. For eksempel, hvis den maksimale størrelse af sikkerhedshændelseslogfilen blev nået, og metoden til opbevaring af hændelseslog er Overskriv ikke hændelser (Ryd logfiler manuelt) som beskrevet i denne Microsoft dokumentation . Følgende er mulighederne i indstillingerne for sikkerhedshændelseslog:
- Overskriv begivenheder efter behov (ældste begivenheder først) – Dette er standardindstillingen. Når den maksimale logstørrelse er nået, vil ældre elementer blive slettet for at gøre plads til nye elementer.
- Arkivér loggen, når den er fuld, overskriv ikke hændelser – Hvis du vælger denne mulighed, gemmer Windows automatisk loggen, når den maksimale logstørrelse er nået, og opretter en ny. Loggen vil blive arkiveret overalt, hvor sikkerhedsloggen gemmes. Som standard vil dette være på følgende placering %SystemRoot%\SYSTEM32\WINEVT\LOGS . Du kan se egenskaberne for log-in Event Viewer for at bestemme den nøjagtige placering.
- Overskriv ikke hændelser (Ryd logfiler manuelt) – Hvis du vælger denne mulighed, og hændelsesloggen når den maksimale størrelse, vil der ikke blive skrevet flere hændelser, før loggen ryddes manuelt.
For at kontrollere eller ændre dine sikkerhedshændelseslogindstillinger er den første ting, du måske vil ændre, være Maksimal logstørrelse (KB) – den maksimale logfilstørrelse er 20 MB (20480 KB). Udover det, beslut dig for din opbevaringspolitik som beskrevet ovenfor.
Sikkerhedsloggen er nu fuld (hændelses-id 1104)
Når den øvre grænse for Sikkerhedsloghændelsesfilstørrelsen er nået, og der ikke er plads til at logge flere hændelser, Hændelses-id 1104: Sikkerhedsloggen er nu fuld vil blive logget, hvilket indikerer, at logfilen er fuld, og du skal udføre en af følgende øjeblikkelige handlinger.
- Aktiver logoverskrivning i Event Viewer
- Arkiver Windows-sikkerhedshændelsesloggen
- Ryd sikkerhedsloggen manuelt
Lad os se disse anbefalede handlinger i detaljer.
1] Aktiver logoverskrivning i Event Viewer
kunne ikke finde dette element, dette findes ikke længere, når du kopierer filer
Som standard er sikkerhedsloggen konfigureret til at overskrive hændelser efter behov. Når du aktiverer muligheden for overskrivning af logfiler, vil dette give Event Viewer mulighed for at overskrive de gamle logfiler, hvilket igen sparer hukommelsen fra at blive fuld. Så du skal sørge for, at denne mulighed er aktiveret ved at følge disse trin:
- Tryk på Windows-tast + R for at starte dialogboksen Kør.
- Skriv i dialogboksen Kør eventvwr og tryk på Enter for at åbne Event Viewer.
- Udvide Windows-logfiler .
- Klik Sikkerhed .
- I højre rude under Handlinger menu, vælg Ejendomme . Alternativt kan du højreklikke på Sikkerhedslog i venstre navigationsrude, og vælg Ejendomme .
- Nu under Når den maksimale hændelseslogstørrelse er nået skal du vælge alternativknappen for Overskriv begivenheder efter behov (ældste begivenheder først) mulighed.
- Klik ansøge > Okay .
Læs : Sådan får du vist hændelseslogfiler i Windows i detaljer
2] Arkiver Windows-sikkerhedshændelsesloggen
I et sikkerhedsbevidst miljø (især i en virksomhed/organisation) kan det være nødvendigt eller påbudt at arkivere Windows sikkerhedshændelsesloggen. Dette kan gøres via Event Viewer som vist ovenfor ved at vælge Arkivér loggen, når den er fuld, overskriv ikke hændelser mulighed eller ved oprette og køre et PowerShell-script ved hjælp af koden nedenfor. PowerShell-scriptet vil kontrollere størrelsen af sikkerhedshændelsesloggen og arkivere den, hvis det er nødvendigt. De trin, der udføres af scriptet, er som følger:
- Hvis sikkerhedshændelsesloggen er under 250 MB, skrives en informationsbegivenhed til applikationshændelsesloggen
- Hvis loggen er over 250 MB
- Loggen arkiveres til D:\Logs\OS.
- Hvis arkiveringshandlingen mislykkes, skrives en fejlhændelse til applikationshændelsesloggen, og der sendes en e-mail.
- Hvis arkiveringshandlingen lykkes, skrives en informationsbegivenhed til applikationshændelsesloggen, og der sendes en e-mail.
Inden du bruger scriptet i dit miljø, skal du konfigurere følgende variabler:
- $ArchiveSize – Indstil til ønsket logstørrelsesgrænse (MB)
- $ArchiveFolder – Indstil til en eksisterende sti, hvor du vil have logfilarkiverne hen
- $mailMsgServer – Indstil til en gyldig SMTP-server
- $mailMsgFrom – Indstil til en gyldig FROM-e-mailadresse
- $MailMsgTo – Indstil til en gyldig TO-e-mailadresse
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Læs : Sådan planlægges PowerShell-script i Task Scheduler
Hvis du vil, kan du bruge en XML-fil til at indstille scriptet til at køre hver time. Til dette skal du gemme følgende kode i en XML-fil og derefter importere det til Task Scheduler . Sørg for at ændre
.ahk
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Læs: Opgave-XML indeholder en værdi, som er forkert forbundet eller uden for rækkevidde
Når du har aktiveret eller konfigureret arkivering af logfilerne, vil de ældste logfiler blive gemt og vil ikke blive overskrevet med nyere logfiler. Så nu og frem vil Windows arkivere loggen, når den maksimale logstørrelse er nået, og gemme den i den mappe (hvis ikke standarden), du har angivet. Den arkiverede fil vil blive navngivet i Arkiv-
Læs : Læs Windows Defender Event Log ved hjælp af WinDefLogView
3] Ryd sikkerhedsloggen manuelt
Hvis du har indstillet opbevaringspolitikken til Overskriv ikke hændelser (Ryd logfiler manuelt) , bliver du nødt til ryd sikkerhedsloggen manuelt ved at bruge en af følgende metoder.
- Event Viewer
- WEVTUTIL.exe-værktøj
- Batch-fil
Det er det!
Læs nu : Manglende hændelser i hændelsesloggen
Hvilket hændelses-id er malware opdaget?
Windows sikkerhedshændelseslog-id 4688 angiver, at malware er blevet opdaget på systemet. For eksempel, hvis der er malware til stede på dit Windows-system, vil søgning i hændelse 4688 afsløre alle processer, der udføres af det uhensigtsmæssige program. Med disse oplysninger kan du udføre en hurtig scanning, planlægge en Windows Defender-scanning , eller køre en Defender Offline-scanning .
Hvad er sikkerheds-id'et for logon-hændelsen?
I Event Viewer er Hændelses-id 4624 vil blive logget på hvert vellykket forsøg på at logge på en lokal computer. Denne hændelse genereres på den computer, der blev tilgået, med andre ord, hvor logon-sessionen blev oprettet. Begivenheden Logon type 11: CachedInteractive angiver en bruger, der er logget på en computer med netværkslegitimationsoplysninger, der blev gemt lokalt på computeren. Domænecontrolleren blev ikke kontaktet for at bekræfte legitimationsoplysningerne.
Læs : Windows Event Log Service starter ikke eller er ikke tilgængelig .
