В Event Viewer регистрираните грешки са често срещани и ще срещнете различни грешки с различни идентификатори на събития. Събитията, които се записват в регистрационните файлове за сигурност, обикновено ще бъдат една от двете ключови думи Успех или неуспех на одита . В тази публикация ще обсъдим Регистърът за сигурност вече е пълен (идентификатор на събитие 1104) включително защо се задейства това събитие и действията, които можете да извършите в тази ситуация, независимо дали на клиентска или сървърна машина.
Както показва описанието на събитието, това събитие се генерира всеки път, когато регистрационният файл за защита на Windows се запълни. Например, ако е достигнат максималният размер на файла на регистъра на събитията за сигурност и методът за запазване на регистъра на събитията е Не презаписвайте събития (ръчно изчистване на регистрационните файлове) както е описано в това Документация на Microsoft . Следните са опциите в настройките на регистъра на събитията за защита:
- Презаписвайте събития според нуждите (първо най-старите събития) – Това е настройката по подразбиране. След като бъде достигнат максималният размер на регистрационния файл, по-старите елементи ще бъдат изтрити, за да направят място за нови елементи.
- Архивирайте дневника, когато е пълен, не презаписвайте събития – Ако изберете тази опция, Windows автоматично ще запази дневника, когато бъде достигнат максималния размер на дневника и ще създаде нов. Регистърът ще бъде архивиран навсякъде, където се съхранява регистрационният файл за сигурност. По подразбиране това ще бъде на следното място %SystemRoot%\SYSTEM32\WINEVT\LOGS . Можете да видите свойствата на програмата за преглед на събития за влизане, за да определите точното местоположение.
- Не презаписвайте събития (ръчно изчистване на регистрационните файлове) – Ако изберете тази опция и регистърът на събитията достигне максималния размер, няма да се записват други събития, докато регистърът не бъде изчистен ръчно.
За да проверите или промените настройките на регистъра на събитията за сигурност, първото нещо, което може да искате да промените, е Максимален размер на регистрационния файл (KB) – максималният размер на лог файла е 20 MB (20480 KB). Освен това вземете решение за вашата политика за задържане, както е описано по-горе.
Регистърът за сигурност вече е пълен (идентификатор на събитие 1104)
Когато се достигне горната граница на размера на файла за регистрационни събития за сигурност и няма място за регистриране на повече събития, Идентификатор на събитие 1104: Регистърът за сигурност вече е пълен ще се регистрира, което показва, че регистрационният файл е пълен и трябва да извършите някое от следните незабавни действия.
размер на шрифта на лепкави бележки
- Разрешете презаписването на регистрационни файлове в Event Viewer
- Архивирайте регистъра на събитията за сигурност на Windows
- Изчистете ръчно регистъра за сигурност
Нека да видим тези препоръчани действия в детайли.
1] Активирайте презаписването на регистрационни файлове в Event Viewer
По подразбиране регистрационният файл за защита е конфигуриран да презаписва събития, ако е необходимо. Когато включите опцията за презаписване на регистрационни файлове, това ще позволи на Event Viewer да презапише старите регистрационни файлове, като на свой ред предпазва паметта от запълване. Така че трябва да се уверите, че тази опция е активирана, като изпълните следните стъпки:
най-добрият безплатен векторен софтуер
- Натисни Windows клавиш + R за да извикате диалоговия прозорец Изпълнение.
- В диалоговия прозорец Изпълнение въведете eventvwr и натиснете Enter, за да отворите Event Viewer.
- Разширяване Регистри на Windows .
- Кликнете Сигурност .
- В десния панел, под Действия меню, изберете Имоти . Друга възможност е да щракнете с десния бутон върху Дневник за сигурност в левия навигационен панел и изберете Имоти .
- Сега, под Когато бъде достигнат максималния размер на регистъра на събитията раздел, изберете бутона за избор за Презаписвайте събития според нуждите (първо най-старите събития) опция.
- Кликнете Приложи > Добре .
Прочети : Как да видите подробно журналите на събитията в Windows
2] Архивирайте регистъра на събитията за сигурност на Windows
В среда, съобразена със сигурността (особено в предприятие/организация), може да е необходимо или задължително да се архивира регистърът на събитията за сигурност на Windows. Това може да стане чрез Event Viewer, както е показано по-горе, като изберете Архивирайте дневника, когато е пълен, не презаписвайте събития опция, или от създаване и изпълнение на PowerShell скрипт използвайки кода по-долу. Скриптът PowerShell ще провери размера на регистъра на събитията за сигурност и ще го архивира, ако е необходимо. Стъпките, изпълнявани от скрипта, са както следва:
- Ако регистърът на събитията за защита е под 250 MB, информационно събитие се записва в регистъра на събитията на приложението
- Ако регистрационният файл е над 250 MB
- Дневникът се архивира в D:\Logs\OS.
- Ако операцията по архивиране е неуспешна, в регистъра на събитията на приложението се записва събитие за грешка и се изпраща имейл.
- Ако операцията за архивиране е успешна, информационно събитие се записва в регистъра на събитията на приложението и се изпраща имейл.
Преди да използвате скрипта във вашата среда, конфигурирайте следните променливи:
- $ArchiveSize – Задайте желаното ограничение за размер на журнала (MB)
- $ArchiveFolder – Задайте съществуващ път, където искате да отидат архивите на регистрационните файлове
- $mailMsgServer – Задайте валиден SMTP сървър
- $mailMsgFrom – Задайте валиден имейл адрес ОТ
- $MailMsgTo – Задайте валиден имейл адрес на TO
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Прочети : Как да планирате скрипт на PowerShell в Task Scheduler
Ако искате, можете да използвате XML файл, за да настроите скрипта да се изпълнява на всеки час. За целта запишете следния код в XML файл и след това импортирайте го в Task Scheduler . Не забравяйте да промените <Аргументи> към името на папката/файла, където сте записали скрипта.
миниатюрите на onedrive не се показват
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Прочети: XML на задачата съдържа стойност, която е неправилно свързана или е извън диапазона
След като сте активирали или конфигурирали архивирането на регистрационните файлове, най-старите регистрационни файлове ще бъдат запазени и няма да бъдат презаписани с по-нови регистрационни файлове. Сега нататък Windows ще архивира дневника, когато бъде достигнат максималният размер на лога и ще го запише в директорията (ако не е по подразбиране), която сте посочили. Архивираният файл ще бъде наименуван в Архив-<Раздел>-<Дата/Час> формат, например, Архив-Сигурност-2023-02-14-18-05-34 . Архивираният файл вече може да се използва за проследяване на по-стари събития.
Прочети : Прочетете регистъра на събитията на Windows Defender с помощта на WinDefLogView
инструмент за създаване на медия възникна проблем при стартиране на настройката
3] Изчистете ръчно регистъра за сигурност
Ако сте задали политиката за задържане на Не презаписвайте събития (ръчно изчистване на регистрационните файлове) , ще трябва да изчистете ръчно регистрационния файл за сигурност като използвате някой от следните методи.
- Преглед на събития
- Помощна програма WEVTUTIL.exe
- Пакетен файл
Това е!
Сега прочетете : Липсващи събития в регистъра на събитията
Какъв идентификатор на събитие е открит злонамерен софтуер?
Идентификационният номер на регистъра на събитията за сигурност на Windows 4688 показва, че в системата е открит зловреден софтуер. Например, ако във вашата Windows система има злонамерен софтуер, търсенето на събитие 4688 ще разкрие всички процеси, изпълнени от тази злонамерена програма. С тази информация можете да извършите бързо сканиране, планирайте сканиране на Windows Defender , или стартирайте офлайн сканиране на Defender .
Какъв е идентификаторът за сигурност за събитието за влизане?
В Event Viewer, ИД на събитие 4624 ще се регистрира при всеки успешен опит за влизане в локален компютър. Това събитие се генерира на компютъра, до който е осъществен достъп, с други думи, където е създадена сесията за влизане. Събитието Тип влизане 11: CachedInteractive показва потребител, влязъл в компютър с мрежови идентификационни данни, които са били съхранени локално на компютъра. Не се свърза с домейн контролера, за да провери идентификационните данни.
Прочети : Услугата за регистриране на събития на Windows не се стартира или не е налична .
