Στο Event Viewer, τα σφάλματα που καταγράφονται είναι κοινά και θα συναντήσετε διαφορετικά σφάλματα με διαφορετικά αναγνωριστικά συμβάντων. Τα συμβάντα που καταγράφονται στα αρχεία καταγραφής ασφαλείας συνήθως θα είναι μία από τις λέξεις-κλειδιά Επιτυχία ελέγχου ή αποτυχία ελέγχου . Σε αυτή την ανάρτηση, θα συζητήσουμε Το αρχείο καταγραφής ασφαλείας είναι πλέον πλήρες (Αναγνωριστικό συμβάντος 1104) συμπεριλαμβανομένου του γιατί ενεργοποιείται αυτό το συμβάν και των ενεργειών που μπορείτε να εκτελέσετε σε αυτήν την περίπτωση είτε σε υπολογιστή-πελάτη είτε σε υπολογιστή διακομιστή.
μη αυτόματη επαναφορά της ενημέρωσης των Windows
Όπως υποδεικνύει η περιγραφή του συμβάντος, αυτό το συμβάν δημιουργείται κάθε φορά που το αρχείο καταγραφής ασφαλείας των Windows γεμίζει. Για παράδειγμα, εάν επιτευχθεί το μέγιστο μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας και η μέθοδος διατήρησης αρχείου καταγραφής συμβάντων είναι Μην αντικαθιστάτε συμβάντα (Εκκαθάριση αρχείων καταγραφής με μη αυτόματο τρόπο) όπως περιγράφεται σε αυτό Τεκμηρίωση της Microsoft . Οι ακόλουθες είναι οι επιλογές στις ρυθμίσεις αρχείου καταγραφής συμβάντων ασφαλείας:
- Αντικατάσταση συμβάντων όπως απαιτείται (πρώτα τα παλαιότερα συμβάντα) - Αυτή είναι η προεπιλεγμένη ρύθμιση. Μόλις επιτευχθεί το μέγιστο μέγεθος αρχείου καταγραφής, τα παλαιότερα στοιχεία θα διαγραφούν για να ανοίξουν χώρο για νέα στοιχεία.
- Αρχειοθετήστε το αρχείο καταγραφής όταν είναι γεμάτο, μην αντικαθιστάτε συμβάντα – Εάν ορίσετε αυτήν την επιλογή, τα Windows θα αποθηκεύσουν αυτόματα το αρχείο καταγραφής όταν επιτευχθεί το μέγιστο μέγεθος αρχείου καταγραφής και θα δημιουργήσουν ένα νέο. Το αρχείο καταγραφής θα αρχειοθετηθεί οπουδήποτε αποθηκεύεται το αρχείο καταγραφής ασφαλείας. Από προεπιλογή, αυτό θα βρίσκεται στην ακόλουθη τοποθεσία %SystemRoot%\SYSTEM32\WINEVT\LOGS . Μπορείτε να προβάλετε τις ιδιότητες του προγράμματος προβολής συμβάντων σύνδεσης για να προσδιορίσετε την ακριβή τοποθεσία.
- Μην αντικαθιστάτε συμβάντα (Εκκαθάριση αρχείων καταγραφής με μη αυτόματο τρόπο) – Εάν κάνετε αυτήν την επιλογή και το αρχείο καταγραφής συμβάντων φτάσει στο μέγιστο μέγεθος, δεν θα εγγραφούν άλλα συμβάντα έως ότου το αρχείο καταγραφής διαγραφεί με μη αυτόματο τρόπο.
Για να ελέγξετε ή να τροποποιήσετε τις ρυθμίσεις του αρχείου καταγραφής συμβάντων ασφαλείας, το πρώτο πράγμα που ίσως θέλετε να αλλάξετε είναι το Μέγιστο μέγεθος αρχείου καταγραφής (KB) – το μέγιστο μέγεθος αρχείου καταγραφής είναι 20 MB (20480 KB). Από εκεί και πέρα, αποφασίστε για την πολιτική διατήρησης σας όπως περιγράφεται παραπάνω.
Το αρχείο καταγραφής ασφαλείας είναι πλέον πλήρες (Αναγνωριστικό συμβάντος 1104)
Όταν επιτευχθεί το ανώτατο όριο του μεγέθους αρχείου συμβάντος καταγραφής ασφαλείας και δεν υπάρχει χώρος για την καταγραφή περισσότερων συμβάντων, Αναγνωριστικό συμβάντος 1104: Το αρχείο καταγραφής ασφαλείας είναι πλέον πλήρες θα καταγραφεί υποδεικνύοντας ότι το αρχείο καταγραφής είναι πλήρες και πρέπει να εκτελέσετε οποιαδήποτε από τις ακόλουθες άμεσες ενέργειες.
- Ενεργοποιήστε την αντικατάσταση αρχείων καταγραφής στο Event Viewer
- Αρχειοθετήστε το αρχείο καταγραφής συμβάντων ασφαλείας των Windows
- Διαγράψτε μη αυτόματα το αρχείο καταγραφής ασφαλείας
Ας δούμε αναλυτικά αυτές τις προτεινόμενες ενέργειες.
1] Ενεργοποιήστε την αντικατάσταση αρχείων καταγραφής στο Event Viewer
Από προεπιλογή, το αρχείο καταγραφής ασφαλείας έχει ρυθμιστεί για να αντικαθιστά συμβάντα όπως απαιτείται. Όταν ενεργοποιείτε την επιλογή αντικατάστασης αρχείων καταγραφής, αυτό θα επιτρέψει στο Event Viewer να αντικαταστήσει τα παλιά αρχεία καταγραφής, εξοικονομώντας με τη σειρά του τη μνήμη από το να γεμίσει. Επομένως, πρέπει να βεβαιωθείτε ότι αυτή η επιλογή είναι ενεργοποιημένη ακολουθώντας αυτά τα βήματα:
δωρεάν πρόγραμμα αναπαραγωγής πολυμέσων για τα Windows 10
- Πάτα το Πλήκτρο Windows + R για να καλέσετε το παράθυρο διαλόγου Εκτέλεση.
- Στο παράθυρο διαλόγου Εκτέλεση, πληκτρολογήστε eventvwr και πατήστε Enter για να ανοίξετε το Event Viewer.
- Επεκτείνουν Αρχεία καταγραφής των Windows .
- Κάντε κλικ Ασφάλεια .
- Στο δεξί τζάμι, κάτω από το Ενέργειες μενού, επιλέξτε Ιδιότητες . Εναλλακτικά, κάντε δεξί κλικ στο Ημερολόγιο ασφαλείας στο αριστερό παράθυρο πλοήγησης και επιλέξτε Ιδιότητες .
- Τώρα, κάτω από το Όταν επιτευχθεί το μέγιστο μέγεθος αρχείου καταγραφής συμβάντων ενότητα, επιλέξτε το κουμπί επιλογής για το Αντικατάσταση συμβάντων όπως απαιτείται (πρώτα τα παλαιότερα συμβάντα) επιλογή.
- Κάντε κλικ Ισχύουν > Εντάξει .
Ανάγνωση : Πώς να δείτε αναλυτικά τα αρχεία καταγραφής συμβάντων στα Windows
2] Αρχειοθετήστε το αρχείο καταγραφής συμβάντων ασφαλείας των Windows
Σε ένα περιβάλλον με συνείδηση της ασφάλειας (ειδικά σε μια επιχείρηση/οργανισμό), μπορεί να είναι απαραίτητο ή να απαιτείται η αρχειοθέτηση του αρχείου καταγραφής συμβάντων ασφαλείας των Windows. Αυτό μπορεί να γίνει μέσω του Event Viewer όπως φαίνεται παραπάνω επιλέγοντας το Αρχειοθετήστε το αρχείο καταγραφής όταν είναι γεμάτο, μην αντικαθιστάτε συμβάντα επιλογή ή από δημιουργία και εκτέλεση ενός σεναρίου PowerShell χρησιμοποιώντας τον παρακάτω κώδικα. Το σενάριο PowerShell θα ελέγξει το μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας και θα το αρχειοθετήσει εάν είναι απαραίτητο. Τα βήματα που εκτελούνται από το σενάριο είναι τα εξής:
- Εάν το αρχείο καταγραφής συμβάντων ασφαλείας είναι μικρότερο από 250 MB, εγγράφεται ένα ενημερωτικό συμβάν στο αρχείο καταγραφής συμβάντων εφαρμογής
- Εάν το αρχείο καταγραφής είναι πάνω από 250 MB
- Το αρχείο καταγραφής αρχειοθετείται στο D:\Logs\OS.
- Εάν η λειτουργία αρχειοθέτησης αποτύχει, εγγράφεται ένα συμβάν σφάλματος στο αρχείο καταγραφής συμβάντων εφαρμογής και αποστέλλεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
- Εάν η λειτουργία αρχειοθέτησης είναι επιτυχής, γράφεται ένα ενημερωτικό συμβάν στο αρχείο καταγραφής συμβάντων της εφαρμογής και αποστέλλεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πριν χρησιμοποιήσετε το σενάριο στο περιβάλλον σας, διαμορφώστε τις ακόλουθες μεταβλητές:
- $ArchiveSize – Ορισμός στο επιθυμητό όριο μεγέθους αρχείου καταγραφής (MB)
- $ArchiveFolder – Ορίστε μια υπάρχουσα διαδρομή όπου θέλετε να πηγαίνουν τα αρχεία του αρχείου καταγραφής
- $mailMsgServer – Ορισμός σε έγκυρο διακομιστή SMTP
- $mailMsgFrom – Ορισμός σε έγκυρη διεύθυνση e-mail FROM
- $MailMsgTo – Ορίστε μια έγκυρη διεύθυνση ηλεκτρονικού ταχυδρομείου TO
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Ανάγνωση : Πώς να προγραμματίσετε το σενάριο PowerShell στο Task Scheduler
Εάν θέλετε, μπορείτε να χρησιμοποιήσετε ένα αρχείο XML για να ρυθμίσετε το σενάριο να εκτελείται κάθε ώρα. Για αυτό, αποθηκεύστε τον παρακάτω κώδικα σε ένα αρχείο XML και στη συνέχεια εισαγάγετε το στο Task Scheduler . Φροντίστε να αλλάξετε το <Επιχειρήματα> ενότητα στο όνομα του φακέλου/αρχείου όπου αποθηκεύσατε το σενάριο.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Ανάγνωση: Το Task XML περιέχει μια τιμή που είναι εσφαλμένα συνδεδεμένη ή εκτός εμβέλειας
Αφού ενεργοποιήσετε ή ρυθμίσετε την αρχειοθέτηση των αρχείων καταγραφής, τα παλαιότερα αρχεία καταγραφής θα αποθηκευτούν και δεν θα αντικατασταθούν με νεότερα αρχεία καταγραφής. Έτσι, τώρα και μετά, τα Windows θα αρχειοθετήσουν το αρχείο καταγραφής όταν επιτευχθεί το μέγιστο μέγεθος αρχείου καταγραφής και θα το αποθηκεύσουν στον κατάλογο (αν όχι στον προεπιλεγμένο) που έχετε καθορίσει. Το αρχειοθετημένο αρχείο θα ονομαστεί Αρχείο-<Ενότητα>-<Ημερομηνία/Ώρα> μορφή, για παράδειγμα, Archive-Security-2023-02-14-18-05-34 . Το αρχειοθετημένο αρχείο μπορεί πλέον να χρησιμοποιηθεί για τον εντοπισμό παλαιότερων συμβάντων.
Ανάγνωση : Διαβάστε το αρχείο καταγραφής συμβάντων του Windows Defender χρησιμοποιώντας το WinDefLogView
3] Μη αυτόματη διαγραφή του αρχείου καταγραφής ασφαλείας
Εάν έχετε ορίσει την πολιτική διατήρησης σε Μην αντικαθιστάτε συμβάντα (Εκκαθάριση αρχείων καταγραφής με μη αυτόματο τρόπο) , θα χρειαστεί διαγράψτε μη αυτόματα το αρχείο καταγραφής ασφαλείας χρησιμοποιώντας οποιαδήποτε από τις ακόλουθες μεθόδους.
- Πρόγραμμα προβολής συμβάντων
- Βοηθητικό πρόγραμμα WEVTUTIL.exe
- Μαζικό αρχείο
Αυτό είναι!
πώς να απεγκαταστήσετε το 32 bit office
Τώρα διαβάστε : Συμβάντα που λείπουν στο αρχείο καταγραφής συμβάντων
Ποιο αναγνωριστικό συμβάντος εντοπίζεται κακόβουλο λογισμικό;
Το αναγνωριστικό αρχείου καταγραφής συμβάντων ασφαλείας των Windows 4688 υποδεικνύει ότι έχει εντοπιστεί κακόβουλο λογισμικό στο σύστημα. Για παράδειγμα, εάν υπάρχει κακόβουλο λογισμικό στο σύστημά σας Windows, η αναζήτηση του συμβάντος 4688 θα αποκαλύψει τυχόν διεργασίες που εκτελούνται από αυτό το κακόβουλο πρόγραμμα. Με αυτές τις πληροφορίες, μπορείτε να εκτελέσετε μια γρήγορη σάρωση, προγραμματίστε μια σάρωση του Windows Defender , ή εκτελέστε μια σάρωση Defender Offline .
Ποιο είναι το αναγνωριστικό ασφαλείας για το συμβάν σύνδεσης;
Στο Event Viewer, το Αναγνωριστικό συμβάντος 4624 θα συνδέεται σε κάθε επιτυχημένη προσπάθεια σύνδεσης σε τοπικό υπολογιστή. Αυτό το συμβάν δημιουργείται στον υπολογιστή στον οποίο έγινε πρόσβαση, με άλλα λόγια, όπου δημιουργήθηκε η περίοδος σύνδεσης. Το γεγονός Τύπος σύνδεσης 11: CachedInteractive υποδεικνύει έναν χρήστη που είναι συνδεδεμένος σε υπολογιστή με διαπιστευτήρια δικτύου που ήταν αποθηκευμένα τοπικά στον υπολογιστή. Δεν έγινε επικοινωνία με τον ελεγκτή τομέα για την επαλήθευση των διαπιστευτηρίων.
Ανάγνωση : Η υπηρεσία καταγραφής συμβάντων των Windows δεν ξεκινά ή δεν είναι διαθέσιμη .
