Ang log ng seguridad ay puno na ngayon (Event ID 1104)

Sa Event Viewer, karaniwan ang mga error na naka-log, at makakatagpo ka ng iba't ibang error na may iba't ibang Event ID. Ang mga kaganapan na naitala sa mga log ng seguridad ay karaniwang magiging alinman sa keyword Tagumpay sa Pag-audit o Pagkabigo sa Pag-audit . Sa post na ito, tatalakayin natin Ang log ng seguridad ay puno na ngayon (Event ID 1104) kabilang ang kung bakit na-trigger ang kaganapang ito at ang mga aksyon na maaari mong gawin sa sitwasyong ito sa isang client man o server machine.

proxy server ay refusing connections

Gaya ng ipinahihiwatig ng paglalarawan ng kaganapan, ang kaganapang ito ay bumubuo sa tuwing puno ang log ng seguridad ng Windows. Halimbawa, kung ang maximum na laki ng Security Event Log file ay naabot at ang event log retention method ay Huwag i-overwrite ang mga kaganapan (Manu-manong i-clear ang mga log) gaya ng inilarawan dito Dokumentasyon ng Microsoft . Ang mga sumusunod ay ang mga opsyon sa mga setting ng log ng kaganapan sa seguridad:

I-overwrite ang mga kaganapan kung kinakailangan (una ang mga pinakalumang kaganapan) – Ito ang default na setting. Kapag naabot na ang maximum na laki ng log, tatanggalin ang mga mas lumang item upang magbigay daan para sa mga bagong item.
I-archive ang log kapag puno na, huwag i-overwrite ang mga kaganapan – Kung pipiliin mo ang opsyong ito, awtomatikong ise-save ng Windows ang log kapag naabot na ang maximum na laki ng log at lumikha ng bago. Ang log ay ia-archive saanman ang security log ay iniimbak. Bilang default, ito ay nasa sumusunod na lokasyon %SystemRoot%\SYSTEM32\WINEVT\LOGS . Maaari mong tingnan ang mga katangian ng log-in Event Viewer upang matukoy ang eksaktong lokasyon.
Huwag i-overwrite ang mga kaganapan (Manu-manong i-clear ang mga log) – Kung pipiliin mo ang opsyong ito at ang log ng kaganapan ay umabot sa pinakamataas na laki, walang karagdagang mga kaganapan ang isusulat hanggang ang log ay manu-manong na-clear.

Upang suriin o baguhin ang iyong mga setting ng log ng kaganapan sa seguridad, ang unang bagay na maaaring gusto mong baguhin ay ang Maximum na laki ng log (KB) – ang maximum na laki ng log file ay 20 MB (20480 KB). Higit pa riyan, magpasya sa iyong patakaran sa pagpapanatili ayon sa nakabalangkas sa itaas.

Ang log ng seguridad ay puno na ngayon (Event ID 1104)

Kapag ang pinakamataas na limitasyon ng laki ng file ng Security Log Event ay naabot, at walang puwang upang mag-log ng higit pang mga kaganapan, ang Event ID 1104: Ang log ng seguridad ay puno na ngayon ay mai-log na nagpapahiwatig na ang log file ay puno na, at kailangan mong gawin ang alinman sa mga sumusunod na agarang aksyon.

I-enable ang pag-overwriting ng log sa Event Viewer
I-archive ang log ng kaganapan sa seguridad ng Windows
Manu-manong i-clear ang Security Log

Tingnan natin ang mga inirerekomendang pagkilos na ito nang detalyado.

1] I-enable ang pag-overwrit ng log sa Event Viewer

I-enable ang pag-overwriting ng log sa Event Viewer

Bilang default, ang log ng seguridad ay naka-configure upang i-overwrite ang mga kaganapan kung kinakailangan. Kapag na-on mo ang opsyon sa pag-overwriting ng mga log, papayagan nito ang Viewer ng Kaganapan na i-overwrite ang mga lumang log, at i-save ang memorya mula sa pagkapuno. Kaya, kailangan mong tiyakin na ang opsyon na ito ay pinagana sa pamamagitan ng pagsunod sa mga hakbang na ito:

pindutin ang Windows key + R upang i-invoke ang Run dialog.
Sa dialog box na Run, i-type eventvwr at pindutin ang Enter upang buksan ang Viewer ng Kaganapan.
Palawakin Mga Windows Log .
I-click Seguridad .
Sa kanang pane, sa ilalim ng Mga aksyon menu, piliin Ari-arian . Bilang kahalili, i-right-click sa Log ng seguridad sa kaliwang navigation pane at piliin Ari-arian .
Ngayon, sa ilalim ng Kapag naabot ang maximum na laki ng log ng kaganapan seksyon, piliin ang radio button para sa I-overwrite ang mga kaganapan kung kinakailangan (una ang mga pinakalumang kaganapan) opsyon.
I-click Mag-apply > OK .

Basahin : Paano tingnan ang Mga Log ng Kaganapan sa Windows nang detalyado

2] I-archive ang log ng kaganapan sa seguridad ng Windows

Sa isang kapaligirang may kamalayan sa seguridad (lalo na sa isang enterprise/organisasyon), maaaring kailanganin o ipinag-utos na i-archive ang log ng kaganapan sa seguridad ng Windows. Magagawa ito sa pamamagitan ng Event Viewer tulad ng ipinapakita sa itaas sa pamamagitan ng pagpili sa I-archive ang log kapag puno na, huwag i-overwrite ang mga kaganapan opsyon, o sa pamamagitan ng paggawa at pagpapatakbo ng PowerShell script gamit ang code sa ibaba. Susuriin ng PowerShell script ang laki ng log ng kaganapan sa seguridad at i-archive ito kung kinakailangan. Ang mga hakbang na isinagawa ng script ay ang mga sumusunod:

Kung ang log ng kaganapang panseguridad ay mas mababa sa 250 MB, isang kaganapang pang-impormasyon ang isusulat sa log ng kaganapan ng Application
Kung ang log ay higit sa 250 MB
- Ang log ay naka-archive sa D:\Logs\OS.
- Kung nabigo ang pagpapatakbo ng archive, isang kaganapan ng error ang isusulat sa log ng kaganapan ng Application at isang e-mail ang ipapadala.
- Kung magtagumpay ang pagpapatakbo ng archive, isang kaganapang pang-impormasyon ang isusulat sa log ng kaganapan ng Application at isang e-mail ang ipapadala.

Bago gamitin ang script sa iyong kapaligiran, i-configure ang mga sumusunod na variable:

$ArchiveSize – Itakda sa nais na limitasyon sa laki ng log (MB)
$ArchiveFolder – Itakda sa isang umiiral na landas kung saan mo gustong pumunta ang mga log file archive
$mailMsgServer – Itakda sa isang wastong SMTP server
$mailMsgFrom – Itakda sa isang wastong MULA sa e-mail address
$MailMsgTo – Itakda sa isang wastong TO e-mail address

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Basahin : Paano mag-iskedyul ng PowerShell script sa Task Scheduler

Kung gusto mo, maaari kang gumamit ng XML file upang itakda ang script na tumakbo bawat oras. Para dito, i-save ang sumusunod na code sa isang XML file at pagkatapos i-import ito sa Task Scheduler . Siguraduhing baguhin ang seksyon sa folder/file name kung saan mo na-save ang script.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Basahin: Ang Task XML ay naglalaman ng isang halaga na hindi wastong nakakonekta o wala sa saklaw

Kapag na-enable o na-configure mo na ang pag-archive ng mga log, ise-save ang mga pinakalumang log at hindi na mapapatungan ng mas bagong mga log. Kaya ngayon, i-archive ng Windows ang log kapag naabot na ang maximum na laki ng log at i-save ito sa direktoryo (kung hindi ang default) na iyong tinukoy. Ang naka-archive na file ay papangalanan sa Archive-- format, halimbawa, Archive-Security-2023-02-14-18-05-34 . Magagamit na ngayon ang naka-archive na file upang masubaybayan ang mga mas lumang kaganapan.

Basahin : Basahin ang Windows Defender Event Log gamit ang WinDefLogView

bintana mapigil ang nagsasabi sa akin upang i-activate

3] Manu-manong i-clear ang Security Log

Manu-manong i-clear ang Security Log

Kung itinakda mo ang patakaran sa pagpapanatili sa Huwag i-overwrite ang mga kaganapan (Manu-manong i-clear ang mga log) , kakailanganin mo manu-manong i-clear ang log ng seguridad gamit ang alinman sa mga sumusunod na pamamaraan.

Viewer ng Kaganapan
Utility ng WEVTUTIL.exe
Batch file

Ayan yun!

Ngayon basahin : Nawawalang Mga Kaganapan sa Log ng Kaganapan

Anong Event ID ang nakitang malware?

Ang Windows security event log ID 4688 ay nagpapahiwatig na may nakitang malware sa system. Halimbawa, kung mayroong malware sa iyong Windows system, ang paghahanap sa kaganapang 4688 ay magbubunyag ng anumang mga prosesong isinagawa ng programang iyon na walang intensyon. Gamit ang impormasyong iyon, maaari kang magsagawa ng mabilisang pag-scan, mag-iskedyul ng pag-scan ng Windows Defender , o magpatakbo ng Defender Offline scan .

Ano ang security ID para sa logon event?

Sa Event Viewer, ang Event ID 4624 ay mai-log sa bawat matagumpay na pagtatangka sa pag-log on sa isang lokal na computer. Ang kaganapang ito ay nabuo sa computer na na-access, sa madaling salita, kung saan ginawa ang session ng pag-logon. Ang kaganapan Uri ng pag-logon 11: CachedInteractive ay nagpapahiwatig ng isang user na naka-log on sa isang computer na may mga kredensyal sa network na lokal na naka-imbak sa computer. Hindi nakipag-ugnayan ang controller ng domain upang i-verify ang mga kredensyal.

Basahin : Hindi nagsisimula o hindi available ang Windows Event Log Service .