Įvykių peržiūros priemonėje registruojamos klaidos yra dažnos, ir jūs susidursite su skirtingomis klaidomis su skirtingais įvykių ID. Įvykiai, kurie įrašomi saugos žurnaluose, paprastai bus bet kuris iš raktinių žodžių Audito sėkmė arba audito nesėkmė . Šiame įraše aptarsime Saugos žurnalas dabar pilnas (įvykio ID 1104) įskaitant, kodėl šis įvykis suaktyvinamas, ir veiksmus, kuriuos galite atlikti šioje situacijoje kliento ar serverio įrenginyje.
Kaip nurodyta įvykio aprašyme, šis įvykis generuojamas kiekvieną kartą, kai užpildomas „Windows“ saugos žurnalas. Pavyzdžiui, jei buvo pasiektas maksimalus saugos įvykių žurnalo failo dydis ir įvykių žurnalo saugojimo metodas yra Neperrašyti įvykių (išvalyti žurnalus rankiniu būdu) kaip aprašyta šiame Microsoft dokumentacija . Toliau pateikiamos parinktys saugos įvykių žurnalo nustatymuose:
- Jei reikia, perrašyti įvykius (pirmiausia seniausi įvykiai) – Tai numatytasis nustatymas. Pasiekus maksimalų žurnalo dydį, senesni elementai bus ištrinti, kad būtų vietos naujiems.
- Archyvuokite žurnalą, kai jis pilnas, neperrašykite įvykių – Jei pasirinksite šią parinktį, „Windows“ automatiškai išsaugos žurnalą, kai pasieks maksimalų žurnalo dydį, ir sukurs naują. Žurnalas bus archyvuojamas visur, kur saugomas saugos žurnalas. Pagal numatytuosius nustatymus tai bus šioje vietoje %SystemRoot%\SYSTEM32\WINEVT\LOGS . Norėdami nustatyti tikslią vietą, galite peržiūrėti prisijungimo įvykių peržiūros priemonės ypatybes.
- Neperrašyti įvykių (išvalyti žurnalus rankiniu būdu) – Jei pasirinksite šią parinktį ir įvykių žurnalas pasieks maksimalų dydį, tolesni įvykiai nebus rašomi, kol žurnalas nebus išvalytas rankiniu būdu.
Norėdami patikrinti arba pakeisti saugos įvykių žurnalo nustatymus, pirmas dalykas, kurį galbūt norėsite pakeisti, yra Maksimalus žurnalo dydis (KB) – maksimalus žurnalo failo dydis yra 20 MB (20 480 KB). Be to, nuspręskite dėl savo saugojimo politikos, kaip aprašyta aukščiau.
Saugos žurnalas dabar pilnas (įvykio ID 1104)
Kai pasiekiama viršutinė saugos žurnalo įvykių failo dydžio riba ir nebelieka vietos registruoti daugiau įvykių, Įvykio ID 1104: saugos žurnalas dabar pilnas bus užregistruotas, nurodant, kad žurnalo failas pilnas, ir jums reikia nedelsiant atlikti bet kurį iš toliau nurodytų veiksmų.
- Įgalinti žurnalo perrašymą įvykių peržiūros priemonėje
- Archyvuokite „Windows“ saugos įvykių žurnalą
- Rankiniu būdu išvalykite saugos žurnalą
Išsamiai pažvelkime į šiuos rekomenduojamus veiksmus.
1] Įgalinti žurnalo perrašymą įvykių peržiūros priemonėje
Pagal numatytuosius nustatymus saugos žurnalas sukonfigūruotas taip, kad prireikus perrašytų įvykius. Kai įjungsite žurnalų perrašymo parinktį, įvykių peržiūros programa galės perrašyti senus žurnalus, o tai savo ruožtu taupys atmintį, kad ji neužsipiltų. Taigi, turite įsitikinti, kad ši parinktis įjungta, atlikdami šiuos veiksmus:
- Paspauskite „Windows“ klavišas + R Norėdami iškviesti dialogo langą Vykdyti.
- Dialogo lange Vykdyti įveskite eventvwr ir paspauskite Enter, kad atidarytumėte įvykių peržiūros programą.
- Išskleisti „Windows“ žurnalai .
- Spustelėkite Saugumas .
- Dešinėje srityje, po Veiksmai meniu, pasirinkite Savybės . Arba dešiniuoju pelės mygtuku spustelėkite Apsaugos žurnalas kairiojoje naršymo srityje ir pasirinkite Savybės .
- Dabar, po Kai pasiekiamas didžiausias įvykių žurnalo dydis skyriuje pasirinkite radijo mygtuką Jei reikia, perrašyti įvykius (pirmiausia seniausi įvykiai) variantas.
- Spustelėkite Taikyti > Gerai .
Skaityti : Kaip išsamiai peržiūrėti įvykių žurnalus sistemoje „Windows“.
2] Archyvuokite „Windows“ saugos įvykių žurnalą
Saugumui svarbioje aplinkoje (ypač įmonėje / organizacijoje) gali prireikti arba privaloma archyvuoti „Windows“ saugos įvykių žurnalą. Tai galima padaryti per įvykių peržiūros programą, kaip parodyta aukščiau, pasirinkus Archyvuokite žurnalą, kai jis pilnas, neperrašykite įvykių parinktis arba pagal sukurti ir paleisti PowerShell scenarijų naudodami toliau pateiktą kodą. „PowerShell“ scenarijus patikrins saugos įvykių žurnalo dydį ir, jei reikia, jį suarchyvuos. Scenarijaus atliekami veiksmai yra tokie:
- Jei saugos įvykių žurnalas yra mažesnis nei 250 MB, informacinis įvykis įrašomas į programos įvykių žurnalą
- Jei žurnalas yra didesnis nei 250 MB
- Žurnalas archyvuojamas į D:\Logs\OS.
- Jei archyvavimo operacija nepavyksta, programos įvykių žurnale įrašomas klaidos įvykis ir išsiunčiamas el.
- Jei archyvavimo operacija pavyksta, programos įvykių žurnale įrašomas informacinis įvykis ir išsiunčiamas el.
Prieš naudodami scenarijų savo aplinkoje, sukonfigūruokite šiuos kintamuosius:
- $ArchiveSize – nustatykite norimą žurnalo dydžio limitą (MB)
- $ArchiveFolder – nustatykite esamą kelią, į kurį norite patekti žurnalo failų archyvams
- $mailMsgServer – Nustatykite galiojantį SMTP serverį
- $mailMsgFrom – nustatykite galiojantį FROM el. pašto adresą
- $MailMsgTo – nustatykite galiojantį TO el. pašto adresą
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Skaityti : Kaip suplanuoti „PowerShell“ scenarijų užduočių planuoklyje
Jei norite, galite naudoti XML failą, kad nustatytumėte, kad scenarijus būtų paleistas kas valandą. Norėdami tai padaryti, išsaugokite šį kodą į XML failą ir tada importuokite jį į Task Scheduler . Būtinai pakeiskite
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Skaityti: Užduotis XML yra reikšmė, kuri yra neteisingai prijungta arba už diapazono ribų
Įjungus arba sukonfigūravus žurnalų archyvavimą, seniausi žurnalai bus išsaugoti ir nebus perrašyti naujesniais žurnalais. Taigi dabar „Windows“ archyvuos žurnalą, kai pasieks maksimalų žurnalo dydį, ir išsaugos jį jūsų nurodytame kataloge (jei ne numatytasis). Archyvuotas failas bus pavadintas Archyvas-
Skaityti : Skaitykite „Windows Defender“ įvykių žurnalą naudodami „WinDefLogView“.
3] Rankiniu būdu išvalykite saugos žurnalą
Jei išsaugojimo politiką nustatėte į Neperrašyti įvykių (išvalyti žurnalus rankiniu būdu) , jums reikės rankiniu būdu išvalykite saugos žurnalą naudojant bet kurį iš toliau nurodytų metodų.
- Įvykių peržiūros priemonė
- WEVTUTIL.exe programa
- Paketinis failas
Viskas!
Dabar skaitykite : Trūksta įvykių įvykių žurnale
nuotolinio darbalaukio komandinė eilutė
Kokio įvykio ID aptikta kenkėjiška programa?
„Windows“ saugos įvykių žurnalo ID 4688 rodo, kad sistemoje aptikta kenkėjiška programa. Pavyzdžiui, jei jūsų „Windows“ sistemoje yra kenkėjiškų programų, paieškos įvykis 4688 atskleis visus procesus, kuriuos vykdo ši netinkama programa. Turėdami šią informaciją galite greitai nuskaityti, suplanuokite „Windows Defender“ nuskaitymą , arba paleiskite „Defender Offline“ nuskaitymą .
Koks yra prisijungimo įvykio saugos ID?
Įvykių peržiūros priemonėje Įvykio ID 4624 bus registruojamas kiekvieną kartą sėkmingai bandant prisijungti prie vietinio kompiuterio. Šis įvykis sugeneruojamas kompiuteryje, prie kurio buvo prisijungta, kitaip tariant, kur buvo sukurta prisijungimo sesija. Renginys 11 prisijungimo tipas: CachedInteractive nurodo vartotoją, prisijungusį prie kompiuterio su tinklo kredencialais, kurie buvo saugomi kompiuteryje. Su domeno valdikliu nebuvo susisiekta, kad būtų patikrinti kredencialai.
Skaityti : „Windows“ įvykių žurnalo paslauga nepasileidžia arba nepasiekiama .
