Sündmusvaaturis on logitud vead tavalised ja erinevate sündmuste ID-dega kohtab erinevaid vigu. Turvalogidesse salvestatud sündmused on tavaliselt üks märksõnadest Auditi õnnestumine või ebaõnnestumine . Selles postituses arutame Turvalogi on nüüd täis (sündmuse ID 1104) sealhulgas selle sündmuse käivitamise põhjus ja toimingud, mida saate selles olukorras teha kas kliendi- või serverimasinas.
Nagu sündmuse kirjeldus näitab, genereeritakse see sündmus iga kord, kui Windowsi turvalogi saab täis. Näiteks kui turvasündmuste logi faili maksimaalne suurus on saavutatud ja sündmuste logi säilitamise meetod on Ärge kirjutage sündmusi üle (tühjendage logid käsitsi) nagu selles kirjeldatud Microsofti dokumentatsioon . Järgmised valikud on turvasündmuste logi seadetes.
shotcut abi
- Sündmuste ülekirjutamine vastavalt vajadusele (vanimad sündmused enne) – See on vaikeseade. Kui logi maksimaalne suurus on saavutatud, kustutatakse vanemad üksused, et teha ruumi uutele üksustele.
- Arhiivige logi, kui see on täis, ärge kirjutage sündmusi üle – Kui valite selle suvandi, salvestab Windows logi maksimaalse suuruse saavutamisel automaatselt ja loob uue. Logi arhiveeritakse kõikjal, kus turvalogi salvestatakse. Vaikimisi asub see järgmises asukohas %SystemRoot%\SYSTEM32\WINEVT\LOGS . Täpse asukoha määramiseks saate vaadata sisselogimissündmuste vaaturi atribuute.
- Ärge kirjutage sündmusi üle (tühjendage logid käsitsi) – Kui valite selle suvandi ja sündmuste logi saavutab maksimumsuuruse, ei kirjutata rohkem sündmusi enne, kui logi on käsitsi kustutatud.
Turvasündmuste logi sätete kontrollimiseks või muutmiseks on esimene asi, mida võiksite muuta Maksimaalne logi suurus (KB) – logifaili maksimaalne suurus on 20 MB (20480 KB). Peale selle otsustage ülalkirjeldatud viisil oma säilitamispoliitika üle.
Turvalogi on nüüd täis (sündmuse ID 1104)
Kui turvalogi sündmuste faili suuruse ülempiir on saavutatud ja rohkemate sündmuste logimiseks pole ruumi, Sündmuse ID 1104: turvalogi on nüüd täis logitakse, mis näitab, et logifail on täis, ja peate viivitamatult tegema ühe järgmistest toimingutest.
- Lubage sündmustevaaturis logi ülekirjutamine
- Arhiivige Windowsi turbesündmuste logi
- Tühjendage turvalogi käsitsi
Vaatame neid soovitatud toiminguid üksikasjalikult.
1] Luba sündmustevaaturis logi ülekirjutamine
Vaikimisi on turvalogi konfigureeritud sündmused vastavalt vajadusele üle kirjutama. Kui lülitate sisse logide ülekirjutamise suvandi, võimaldab see sündmustevaaturil vanad logid üle kirjutada, säästes omakorda mälu täitumist. Seega peate veenduma, et see valik on lubatud, järgides neid samme:
- Vajutage nuppu Windowsi klahv + R Käivita dialoogi avamiseks.
- Tippige dialoogiboksi Käivita eventvwr ja vajutage Enter, et avada Event Viewer.
- Laienda Windowsi logid .
- Klõpsake Turvalisus .
- Paremal paanil all Tegevused menüü, valige Omadused . Teise võimalusena paremklõpsake ikooni Turvalogi vasakpoolsel navigeerimispaanil ja valige Omadused .
- Nüüd all Kui sündmuste logi maksimaalne suurus on saavutatud jaotises valige raadionupp Sündmuste ülekirjutamine vastavalt vajadusele (vanimad sündmused enne) valik.
- Klõpsake Rakenda > Okei .
Lugege : Kuidas Windowsis sündmuste logisid üksikasjalikult vaadata
2] Arhiivige Windowsi turbesündmuste logi
Turvateadlikus keskkonnas (eriti ettevõttes/organisatsioonis) võib osutuda vajalikuks või kohustuslikuks Windowsi turbesündmuste logi arhiveerimine. Seda saab teha sündmuste vaaturi kaudu, nagu ülal näidatud, valides Arhiivige logi, kui see on täis, ärge kirjutage sündmusi üle valik või poolt PowerShelli skripti loomine ja käitamine kasutades allolevat koodi. PowerShelli skript kontrollib turvasündmuste logi suurust ja vajadusel arhiveerib selle. Skripti toimingud on järgmised:
- Kui turbesündmuste logi on alla 250 MB, kirjutatakse rakenduse sündmuste logisse teabesündmus
- Kui logi on üle 250 MB
- Logi arhiveeritakse kausta D:\Logs\OS.
- Kui arhiivitoiming ebaõnnestub, kirjutatakse rakenduse sündmuste logisse tõrkesündmus ja saadetakse e-kiri.
- Kui arhiivimine õnnestub, kirjutatakse rakenduse sündmuste logisse teabesündmus ja saadetakse e-kiri.
Enne skripti kasutamist oma keskkonnas konfigureerige järgmised muutujad.
- $ArchiveSize – määrake soovitud logi suuruse limiit (MB)
- $ArchiveFolder – määrake olemasolev tee, kuhu soovite logifaili arhiive paigutada
- $mailMsgServer – määrake kehtiv SMTP-server
- $mailMsgFrom – määrake kehtiv FROM-i meiliaadress
- $MailMsgTo – määrake kehtiv TO e-posti aadress
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Lugege : PowerShelli skripti ajastamine Task Scheduleris
Soovi korral saate XML-faili abil määrata skripti käitama iga tunni tagant. Selleks salvestage järgmine kood XML-faili ja seejärel importige see Task Schedulerisse . Muutke kindlasti
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Loe: Ülesande XML sisaldab väärtust, mis on valesti ühendatud või väljaspool vahemikku
Kui olete logide arhiveerimise lubanud või konfigureerinud, siis vanimad logid salvestatakse ja neid ei kirjutata üle uuemate logidega. Nüüdsest arhiveerib Windows logi, kui maksimaalne logisuurus on saavutatud, ja salvestab selle teie määratud kataloogi (kui mitte vaikekataloogi). Arhiveeritud failile antakse nimi Arhiiv-
Lugege : Lugege Windows Defenderi sündmuste logi WinDefLogView abil
3] Tühjendage turvalogi käsitsi
Kui olete määranud säilitamispoliitika väärtusele Ärge kirjutage sündmusi üle (tühjendage logid käsitsi) , peate seda tegema tühjendage turvalogi käsitsi kasutades mõnda järgmistest meetoditest.
- Sündmuste vaataja
- WEVTUTIL.exe utiliit
- Partiifail
See on kõik!
Nüüd loe : Sündmuste logis puuduvad sündmused
Millise sündmuse ID pahavara tuvastati?
Windowsi turbesündmuste logi ID 4688 näitab, et süsteemis on tuvastatud pahavara. Näiteks kui teie Windowsi süsteemis on pahavara, näitab sündmus 4688 otsides kõik protsessid, mida see pahatahtlik programm käivitab. Selle teabe abil saate teha kiire skannimise, ajastada Windows Defenderi skannimine , või käivitage Defenderi võrguühenduseta skannimine .
Mis on sisselogimissündmuse turva-ID?
Sündmuste vaaturis Sündmuse ID 4624 logitakse sisse igal edukal katsel kohalikku arvutisse sisse logida. See sündmus genereeritakse arvutis, millele juurde pääseti, teisisõnu, kus sisselogimisseanss loodi. Sündmus Sisselogimistüüp 11: CachedInteractive tähistab kasutajat, kes on arvutisse sisse logitud arvutisse lokaalselt salvestatud võrgumandaatidega. Domeenikontrolleriga ei võetud mandaatide kontrollimiseks ühendust.
Lugege : Windowsi sündmuste logiteenus ei käivitu või pole saadaval .
