Suojausloki on nyt täynnä (tapahtumatunnus 1104)

Tapahtumavalvontaohjelmassa kirjatut virheet ovat yleisiä, ja törmäät erilaisiin virheisiin eri tapahtumatunnuksilla. Suojauslokiin tallennetut tapahtumat ovat yleensä jompikumpi avainsanoista Tarkastuksen onnistuminen tai tarkastuksen epäonnistuminen . Tässä viestissä keskustelemme Suojausloki on nyt täynnä (tapahtumatunnus 1104) mukaan lukien, miksi tämä tapahtuma käynnistyy ja toimet, joita voit suorittaa tässä tilanteessa joko asiakas- tai palvelinkoneessa.

Kuten tapahtuman kuvaus osoittaa, tämä tapahtuma luodaan aina, kun Windowsin suojausloki täyttyy. Jos esimerkiksi suojaustapahtumalokitiedoston enimmäiskoko on saavutettu ja tapahtumalokin säilytystapa on Älä ylikirjoita tapahtumia (tyhjennä lokit manuaalisesti) kuten tässä on kuvattu Microsoftin dokumentaatio . Seuraavat vaihtoehdot ovat suojaustapahtumalokin asetuksissa:

Internet Explorerin asentaminen uudelleen 9

• Korvaa tapahtumat tarpeen mukaan (vanhimmat tapahtumat ensin) – Tämä on oletusasetus. Kun lokin enimmäiskoko on saavutettu, vanhemmat kohteet poistetaan uusien kohteiden tilaamiseksi.
• Arkistoi loki, kun se on täynnä, älä ylikirjoita tapahtumia – Jos valitset tämän vaihtoehdon, Windows tallentaa lokin automaattisesti, kun lokin enimmäiskoko saavutetaan, ja luo uuden. Loki arkistoidaan kaikkialle, missä turvalokia tallennetaan. Oletuksena tämä on seuraavassa paikassa %SystemRoot%\SYSTEM32\WINEVT\LOGS . Voit tarkastella sisäänkirjautumisen Event Viewerin ominaisuuksia ja määrittää tarkan sijainnin.
• Älä ylikirjoita tapahtumia (tyhjennä lokit manuaalisesti) – Jos valitset tämän vaihtoehdon ja tapahtumaloki saavuttaa enimmäiskoon, muita tapahtumia ei kirjoiteta ennen kuin loki on tyhjennetty manuaalisesti.

Jos haluat tarkistaa tai muokata suojaustapahtumalokin asetuksia, ensimmäinen asia, jonka saatat haluta muuttaa, on Lokin enimmäiskoko (kt) – lokitiedoston enimmäiskoko on 20 MB (20 480 kt). Päätä tämän lisäksi säilytyskäytännöstäsi yllä kuvatulla tavalla.

Suojausloki on nyt täynnä (tapahtumatunnus 1104)

Kun suojauslokitapahtumatiedoston koon yläraja on saavutettu eikä tapahtumien lisäämiseen ole tilaa, Tapahtumatunnus 1104: Suojausloki on nyt täynnä kirjataan lokiin osoittaen, että lokitiedosto on täynnä, ja sinun on suoritettava jokin seuraavista välittömistä toimista.

1. Ota lokin päällekirjoitus käyttöön Event Viewerissa
2. Arkistoi Windowsin suojaustapahtumaloki
3. Tyhjennä suojausloki manuaalisesti

Katsotaanpa näitä suositeltuja toimia yksityiskohtaisesti.

1] Ota lokin päällekirjoitus käyttöön Event Viewerissa

Oletusarvoisesti suojausloki on määritetty korvaamaan tapahtumat tarpeen mukaan. Kun otat päällekirjoituslokien päälle, tapahtumanvalvontaohjelma voi korvata vanhat lokit, mikä puolestaan ​​säästää muistia täyttymästä. Joten sinun on varmistettava, että tämä vaihtoehto on käytössä seuraavasti:

• paina Windows-näppäin + R käynnistääksesi Suorita-valintaikkunan.
• Kirjoita Suorita-valintaikkunaan eventvwr ja paina Enter avataksesi Event Viewerin.
• Laajentaa Windowsin lokit .
• Klikkaus Turvallisuus .
• Oikeassa ruudussa, alla Toiminnot valikosta, valitse Ominaisuudet . Vaihtoehtoisesti napsauta hiiren kakkospainikkeella Turvaloki vasemmasta navigointiruudusta ja valitse Ominaisuudet .
• Nyt alla Kun tapahtumalokin enimmäiskoko saavutetaan -osiossa valitse valintanappi Korvaa tapahtumat tarpeen mukaan (vanhimmat tapahtumat ensin) vaihtoehto.
• Klikkaus Käytä > OK .

Lukea : Tapahtumalokien tarkasteleminen Windowsissa yksityiskohtaisesti

2] Arkistoi Windowsin suojaustapahtumaloki

Turvallisuustietoisessa ympäristössä (etenkin yrityksessä/organisaatiossa) saattaa olla tarpeen tai velvoitettu arkistoida Windowsin suojaustapahtumaloki. Tämä voidaan tehdä Event Viewerin kautta yllä olevan kuvan mukaisesti valitsemalla Arkistoi loki, kun se on täynnä, älä ylikirjoita tapahtumia vaihtoehto tai PowerShell-komentosarjan luominen ja suorittaminen käyttämällä alla olevaa koodia. PowerShell-komentosarja tarkistaa tietoturvatapahtumalokin koon ja arkistoi sen tarvittaessa. Skriptin suorittamat vaiheet ovat seuraavat:

• Jos suojaustapahtumaloki on alle 250 Mt, sovelluksen tapahtumalokiin kirjoitetaan tiedotustapahtuma
• Jos loki on yli 250 Mt
  • Loki arkistoidaan kansioon D:\Logs\OS.
  • Jos arkistointi epäonnistuu, sovelluksen tapahtumalokiin kirjoitetaan virhetapahtuma ja lähetetään sähköposti.
  • Jos arkistointi onnistuu, sovelluksen tapahtumalokiin kirjoitetaan tiedotustapahtuma ja lähetetään sähköposti.

Ennen kuin käytät komentosarjaa ympäristössäsi, määritä seuraavat muuttujat:

• $ArchiveSize – Aseta haluamasi lokin kokorajoitus (MB)
• $ArchiveFolder – Aseta olemassa oleva polku, johon haluat lokitiedostojen arkiston menevän
• $mailMsgServer – Aseta kelvollinen SMTP-palvelin
• $mailMsgFrom – Aseta kelvollinen FROM-sähköpostiosoite
• $MailMsgTo – Aseta kelvollinen TO-sähköpostiosoite

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Lukea : PowerShell-komentosarjan ajoittaminen Task Schedulerissa

Jos haluat, voit käyttää XML-tiedostoa asettaaksesi skriptin toimimaan tunnin välein. Tallenna tätä varten seuraava koodi XML-tiedostoon ja sitten tuoda se Task Scheduleriin . Muista vaihtaa -osiosta kansioon/tiedostonimeen, johon tallensit skriptin.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Lukea: Task XML sisältää arvon, joka on yhdistetty väärin tai alueen ulkopuolella

wow 64 exe -sovellusvirhe

Kun olet ottanut lokien arkistoinnin käyttöön tai määrittänyt sen, vanhimmat lokit tallennetaan, eikä niitä korvata uusilla lokeilla. Tästä eteenpäin Windows arkistoi lokin, kun lokin enimmäiskoko on saavutettu, ja tallentaa sen määrittämääsi hakemistoon (ellei oletushakemistoon). Arkistoitu tiedosto nimetään Arkisto-- muoto, esim. Arkisto-Turvallisuus-2023-02-14-18-05-34 . Arkistoitua tiedostoa voidaan nyt käyttää vanhempien tapahtumien jäljittämiseen.

Lukea : Lue Windows Defender -tapahtumaloki WinDefLogView-sovelluksella

3] Tyhjennä suojausloki manuaalisesti

Jos olet asettanut säilytyskäytännöksi Älä ylikirjoita tapahtumia (tyhjennä lokit manuaalisesti) , sinun tulee tehdä tyhjennä suojausloki manuaalisesti käyttämällä jotakin seuraavista menetelmistä.

• Tapahtuman katselija
• WEVTUTIL.exe-apuohjelma
• Erätiedosto

Se siitä!

Lue nyt : Tapahtumalokista puuttuvat tapahtumat

Mikä tapahtumatunnus haittaohjelma havaitaan?

Windowsin suojaustapahtumalokin tunnus 4688 osoittaa, että järjestelmässä on havaittu haittaohjelma. Jos Windows-järjestelmässäsi on esimerkiksi haittaohjelmia, hakutapahtuma 4688 paljastaa kaikki prosessit, jotka tämä pahantahtoinen ohjelma suorittaa. Näiden tietojen avulla voit suorittaa nopean skannauksen, ajoita Windows Defender -tarkistus , tai suorita Defender Offline -skannaus .

Mikä on kirjautumistapahtuman suojaustunnus?

Tapahtumien katseluohjelmassa Tapahtumatunnus 4624 kirjataan jokaiseen onnistuneeseen paikalliseen tietokoneeseen kirjautumisyritykseen. Tämä tapahtuma luodaan tietokoneessa, johon kirjauduttiin, toisin sanoen missä kirjautumisistunto luotiin. Tapahtuma Kirjautumistyyppi 11: CachedInteractive ilmaisee käyttäjää, joka on kirjautunut tietokoneeseen verkkotunnuksella, joka on tallennettu tietokoneeseen paikallisesti. Toimialueen ohjaimeen ei otettu yhteyttä valtuustietojen vahvistamiseksi.

Lukea : Windowsin tapahtumalokipalvelu ei käynnisty tai ei ole käytettävissä .