V prohlížeči událostí jsou protokolované chyby běžné a narazíte na různé chyby s různými ID událostí. Události, které jsou zaznamenány v protokolech zabezpečení, budou obvykle jedním z klíčových slov Úspěch auditu nebo selhání auditu . V tomto příspěvku budeme diskutovat Protokol zabezpečení je nyní plný (ID události 1104) včetně toho, proč je tato událost spuštěna, a akcí, které můžete v této situaci provést, ať už na počítači klienta nebo serveru.
klávesové zkratky nefungují Windows 10
Jak naznačuje popis události, tato událost se generuje pokaždé, když se zaplní protokol zabezpečení systému Windows. Například pokud bylo dosaženo maximální velikosti souboru protokolu událostí zabezpečení a metoda uchovávání protokolu událostí je Nepřepisovat události (vymazat protokoly ručně) jak je popsáno v tomto Dokumentace společnosti Microsoft . V nastavení protokolu událostí zabezpečení jsou následující možnosti:
- Přepisujte události podle potřeby (nejstarší události jako první) – Toto je výchozí nastavení. Po dosažení maximální velikosti protokolu budou starší položky smazány, aby se uvolnilo místo pro nové položky.
- Archivujte protokol, když je plný, nepřepisujte události – Pokud vyberete tuto možnost, systém Windows protokol automaticky uloží, jakmile bude dosažena maximální velikost protokolu, a vytvoří nový. Protokol bude archivován všude tam, kde je uložen protokol zabezpečení. Ve výchozím nastavení to bude v následujícím umístění %SystemRoot%\SYSTEM32\WINEVT\LOGS . Chcete-li určit přesné umístění, můžete zobrazit vlastnosti prohlížeče událostí pro přihlášení.
- Nepřepisovat události (vymazat protokoly ručně) – Pokud vyberete tuto možnost a protokol událostí dosáhne maximální velikosti, nebudou zapsány žádné další události, dokud nebude protokol ručně vymazán.
Chcete-li zkontrolovat nebo upravit nastavení protokolu událostí zabezpečení, první věc, kterou budete chtít změnit, bude Maximální velikost protokolu (kB) – maximální velikost souboru protokolu je 20 MB (20480 kB). Kromě toho se rozhodněte o svých zásadách uchovávání, jak je uvedeno výše.
Protokol zabezpečení je nyní plný (ID události 1104)
Když je dosaženo horního limitu velikosti souboru událostí protokolu zabezpečení a není prostor pro protokolování dalších událostí, ID události 1104: Protokol zabezpečení je nyní plný se zaprotokoluje, což znamená, že soubor protokolu je plný a je třeba provést některou z následujících okamžitých akcí.
- Povolit přepisování protokolu v prohlížeči událostí
- Archivujte protokol událostí zabezpečení systému Windows
- Ručně vymažte protokol zabezpečení
Podívejme se na tyto doporučené akce podrobně.
1] Povolit přepisování protokolu v prohlížeči událostí
Ve výchozím nastavení je protokol zabezpečení nakonfigurován tak, aby přepisoval události podle potřeby. Když zapnete možnost přepisování protokolů, umožní to Prohlížeči událostí přepsat staré protokoly, čímž se šetří paměť před zaplněním. Musíte se tedy ujistit, že je tato možnost povolena pomocí následujících kroků:
- zmáčkni Klávesa Windows + R pro vyvolání dialogu Spustit.
- V dialogovém okně Spustit zadejte eventvwr a stisknutím klávesy Enter otevřete Prohlížeč událostí.
- Rozšířit Protokoly systému Windows .
- Klikněte Bezpečnostní .
- V pravém podokně pod Akce menu, vyberte Vlastnosti . Případně klikněte pravým tlačítkem myši na Bezpečnostní protokol v levém navigačním panelu a vyberte Vlastnosti .
- Nyní pod Při dosažení maximální velikosti protokolu událostí vyberte přepínač pro Přepisujte události podle potřeby (nejstarší události jako první) volba.
- Klikněte Aplikovat > OK .
Číst : Jak podrobně zobrazit protokoly událostí ve Windows
2] Archivujte protokol událostí zabezpečení systému Windows
V prostředí s důrazem na zabezpečení (zejména v podniku/organizaci) může být nutné nebo povinné archivovat protokol událostí zabezpečení systému Windows. To lze provést pomocí Prohlížeče událostí, jak je znázorněno výše, výběrem možnosti Archivujte protokol, když je plný, nepřepisujte události možnost, nebo podle vytvoření a spuštění skriptu PowerShellu pomocí níže uvedeného kódu. Skript PowerShell zkontroluje velikost protokolu událostí zabezpečení a v případě potřeby jej archivuje. Kroky provedené skriptem jsou následující:
nechat Windows spravovat moji výchozí tiskárnu gpo
- Pokud je protokol událostí zabezpečení menší než 250 MB, je do protokolu událostí aplikace zapsána informační událost
- Pokud je log větší než 250 MB
- Protokol je archivován do D:\Logs\OS.
- Pokud se operace archivace nezdaří, je do protokolu událostí aplikace zapsána chybová událost a je odeslán e-mail.
- Pokud je operace archivace úspěšná, je do protokolu událostí aplikace zapsána informační událost a je odeslán e-mail.
Před použitím skriptu ve vašem prostředí nakonfigurujte následující proměnné:
- $ArchiveSize – Nastavte na požadovaný limit velikosti protokolu (MB)
- $ArchiveFolder – Nastavte na existující cestu, kam chcete, aby archivy souborů protokolu chodily
- $mailMsgServer – Nastavte na platný server SMTP
- $mailMsgFrom – Nastavte na platnou e-mailovou adresu FROM
- $MailMsgTo – Nastavte na platnou e-mailovou adresu TO
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Číst : Jak naplánovat skript PowerShell v Plánovači úloh
Pokud chcete, můžete pomocí souboru XML nastavit, aby se skript spouštěl každou hodinu. Za tímto účelem uložte následující kód do souboru XML a poté importujte jej do Plánovače úloh . Ujistěte se, že jste změnili
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Číst: Úloha XML obsahuje hodnotu, která je nesprávně připojena nebo je mimo rozsah
zakázat okna pro vyhledávání na webu 10
Jakmile povolíte nebo nakonfigurujete archivaci protokolů, nejstarší protokoly budou uloženy a nebudou přepsány novějšími protokoly. Nyní tedy systém Windows archivuje protokol, když je dosaženo maximální velikosti protokolu a ukládá jej do vámi určeného adresáře (pokud není výchozí). Archivovaný soubor bude pojmenován v Archiv-
Číst : Přečtěte si protokol událostí programu Windows Defender pomocí WinDefLogView
3] Ručně vymažte protokol zabezpečení
Pokud jste nastavili zásady uchovávání na Nepřepisovat události (vymazat protokoly ručně) , budete muset ručně vymazat protokol zabezpečení pomocí kterékoli z následujících metod.
- Prohlížeč událostí
- Nástroj WEVTUTIL.exe
- Dávkový soubor
A je to!
sihost exe tvrdá chyba
Nyní čtěte : Chybějící události v protokolu událostí
Jaké ID události byl zjištěn malware?
Protokol událostí zabezpečení systému Windows ID 4688 označuje, že v systému byl zjištěn malware. Pokud je například ve vašem systému Windows přítomen malware, vyhledávací událost 4688 odhalí všechny procesy provedené tímto neúmyslným programem. S těmito informacemi můžete provést rychlé skenování, naplánujte kontrolu programu Windows Defender nebo spusťte skenování Defender offline .
Jaké je ID zabezpečení pro událost přihlášení?
V prohlížeči událostí je ID události 4624 bude přihlášen při každém úspěšném pokusu o přihlášení k místnímu počítači. Tato událost je generována v počítači, ke kterému se přistupovalo, jinými slovy, kde byla vytvořena přihlašovací relace. Událost Typ přihlášení 11: CachedInteractive označuje uživatele přihlášeného k počítači pomocí síťových pověření, která byla uložena lokálně v počítači. Řadič domény nebyl kontaktován za účelem ověření pověření.
Číst : Služba protokolu událostí systému Windows se nespouští nebo je nedostupná .
