Dalam Pemapar Acara, ralat yang dilog adalah perkara biasa dan anda akan menemui ralat yang berbeza dengan ID Acara yang berbeza. Peristiwa yang direkodkan dalam log keselamatan biasanya akan menjadi salah satu daripada kata kunci Kejayaan Audit atau Kegagalan Audit . Dalam entri ini, kita akan membincangkan Log keselamatan kini penuh (ID Peristiwa 1104) termasuk sebab peristiwa ini dicetuskan dan tindakan yang boleh anda lakukan dalam situasi ini sama ada pada klien atau mesin pelayan.
Seperti yang ditunjukkan oleh perihalan acara, acara ini menjana setiap kali log keselamatan Windows menjadi penuh. Contohnya, jika saiz maksimum fail Log Peristiwa Keselamatan telah dicapai dan kaedah pengekalan log peristiwa adalah Jangan tulis ganti peristiwa (Kosongkan log secara manual) seperti yang diterangkan dalam ini dokumentasi Microsoft . Berikut ialah pilihan dalam tetapan log peristiwa keselamatan:
- Tulis ganti peristiwa mengikut keperluan (peristiwa tertua dahulu) – Ini ialah tetapan lalai. Setelah saiz log maksimum dicapai, item lama akan dipadamkan untuk memberi laluan kepada item baharu.
- Arkibkan log apabila penuh, jangan tulis ganti acara – Jika anda memilih pilihan ini, Windows akan menyimpan log secara automatik apabila saiz log maksimum dicapai dan mencipta yang baharu. Log akan diarkibkan di mana sahaja log keselamatan disimpan. Secara lalai, ini akan berada di lokasi berikut %SystemRoot%\SYSTEM32\WINEVT\LOGS . Anda boleh melihat sifat Pemapar Acara log masuk untuk menentukan lokasi yang tepat.
- Jangan tulis ganti peristiwa (Kosongkan log secara manual) – Jika anda memilih pilihan ini dan log peristiwa mencapai saiz maksimum, tiada peristiwa selanjutnya akan ditulis sehingga log dikosongkan secara manual.
Untuk menyemak atau mengubah suai tetapan log peristiwa keselamatan anda, perkara pertama yang anda mungkin mahu ubah ialah Saiz log maksimum (KB) – saiz fail log maksimum ialah 20 MB (20480 KB). Selain itu, tentukan dasar pengekalan anda seperti yang digariskan di atas.
Log keselamatan kini penuh (ID Peristiwa 1104)
Apabila had atas saiz fail Acara Log Keselamatan dicapai, dan tiada ruang untuk log lebih banyak acara, ID Peristiwa 1104: Log keselamatan kini penuh akan dilog menunjukkan bahawa fail log telah penuh, dan anda perlu melakukan mana-mana tindakan segera berikut.
- Dayakan timpa log dalam Pemapar Acara
- Arkibkan log peristiwa keselamatan Windows
- Kosongkan Log Keselamatan secara manual
Mari lihat tindakan yang disyorkan ini secara terperinci.
1] Dayakan timpa log dalam Pemapar Acara
Secara lalai, log keselamatan dikonfigurasikan untuk menulis ganti peristiwa seperti yang diperlukan. Apabila anda menghidupkan pilihan log ganti, ini akan membenarkan Pemapar Acara untuk menulis ganti log lama, seterusnya menjimatkan memori daripada menjadi penuh. Jadi, anda perlu memastikan bahawa pilihan ini didayakan dengan mengikuti langkah berikut:
- Tekan ke Kekunci Windows + R untuk memanggil dialog Run.
- Dalam kotak dialog Run, taip eventvwr dan tekan Enter untuk membuka Pemapar Acara.
- Kembangkan Log Windows .
- klik Keselamatan .
- Pada anak tetingkap kanan, di bawah Tindakan menu, pilih Hartanah . Sebagai alternatif, klik kanan pada Log keselamatan pada anak tetingkap navigasi kiri dan pilih Hartanah .
- Sekarang, di bawah Apabila saiz log peristiwa maksimum dicapai bahagian, pilih butang radio untuk Tulis ganti peristiwa mengikut keperluan (peristiwa tertua dahulu) pilihan.
- klik Mohon > okey .
Baca : Bagaimana untuk melihat Log Peristiwa dalam Windows secara terperinci
2] Arkibkan log peristiwa keselamatan Windows
Dalam persekitaran yang mementingkan keselamatan (terutamanya dalam perusahaan/organisasi), mungkin perlu atau diberi mandat untuk mengarkibkan log peristiwa keselamatan Windows. Ini boleh dilakukan melalui Pemapar Acara seperti yang ditunjukkan di atas dengan memilih Arkibkan log apabila penuh, jangan tulis ganti acara pilihan, atau oleh mencipta dan menjalankan skrip PowerShell menggunakan kod di bawah. Skrip PowerShell akan menyemak saiz log peristiwa keselamatan dan mengarkibkannya jika perlu. Langkah-langkah yang dilakukan oleh skrip adalah seperti berikut:
- Jika log peristiwa keselamatan berada di bawah 250 MB, peristiwa maklumat ditulis pada log peristiwa Aplikasi
- Jika log melebihi 250 MB
- Log diarkibkan ke D:\Logs\OS.
- Jika operasi arkib gagal, peristiwa ralat ditulis pada log peristiwa Aplikasi dan e-mel dihantar.
- Jika operasi arkib berjaya, acara bermaklumat ditulis pada log peristiwa Aplikasi dan e-mel dihantar.
Sebelum menggunakan skrip dalam persekitaran anda, konfigurasikan pembolehubah berikut:
cara menggabungkan powerpoint
- $ArchiveSize – Tetapkan kepada had saiz log yang dikehendaki (MB)
- $ArchiveFolder – Tetapkan kepada laluan sedia ada di mana anda mahu arkib fail log pergi
- $mailMsgServer – Tetapkan kepada pelayan SMTP yang sah
- $mailMsgFrom – Tetapkan kepada alamat e-mel FROM yang sah
- $MailMsgTo – Tetapkan kepada alamat e-mel TO yang sah
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Baca : Bagaimana untuk menjadualkan skrip PowerShell dalam Penjadual Tugas
Jika anda mahu, anda boleh menggunakan fail XML untuk menetapkan skrip untuk dijalankan setiap jam. Untuk ini, simpan kod berikut pada fail XML dan kemudian mengimportnya ke dalam Penjadual Tugas . Pastikan anda menukar
firefox membolehkan penambahan dalam penyemakan imbas peribadi
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Baca: XML Tugasan mengandungi nilai yang disambungkan secara salah atau di luar julat
Sebaik sahaja anda telah mendayakan atau mengkonfigurasikan pengarkiban log, log tertua akan disimpan dan tidak akan ditimpa dengan log yang lebih baharu. Jadi sekarang dan seterusnya, Windows akan mengarkibkan log apabila saiz log maksimum dicapai dan menyimpannya ke direktori (jika bukan lalai) yang telah anda tentukan. Fail yang diarkibkan akan dinamakan dalam Arkib-
Baca : Baca Log Acara Windows Defender menggunakan WinDefLogView
3] Kosongkan Log Keselamatan secara manual
Jika anda telah menetapkan dasar pengekalan kepada Jangan tulis ganti peristiwa (Kosongkan log secara manual) , anda perlu kosongkan log keselamatan secara manual menggunakan mana-mana kaedah berikut.
- Pemapar Acara
- Utiliti WEVTUTIL.exe
- Fail kelompok
Itu sahaja!
Sekarang baca : Peristiwa Hilang dalam Log Peristiwa
Apakah ID Peristiwa yang dikesan oleh perisian hasad?
ID log peristiwa keselamatan Windows 4688 menunjukkan perisian hasad telah dikesan pada sistem. Sebagai contoh, jika terdapat perisian hasad pada sistem Windows anda, peristiwa carian 4688 akan mendedahkan sebarang proses yang dilaksanakan oleh program berniat jahat itu. Dengan maklumat itu, anda boleh melakukan imbasan pantas, jadualkan imbasan Windows Defender , atau jalankan imbasan Defender Offline .
Apakah ID keselamatan untuk acara log masuk?
Dalam Event Viewer, the ID Acara 4624 akan dilog masuk setiap percubaan yang berjaya untuk log masuk ke komputer tempatan. Acara ini dijana pada komputer yang telah diakses, dengan kata lain, di mana sesi log masuk dibuat. Acara Jenis log masuk 11: CachedInteractive menunjukkan pengguna yang log masuk ke komputer dengan bukti kelayakan rangkaian yang disimpan secara setempat pada komputer. Pengawal domain tidak dihubungi untuk mengesahkan kelayakan.
Baca : Perkhidmatan Log Acara Windows tidak bermula atau tidak tersedia .
![Penggunaan Kuasa Tinggi Windows Explorer [Tetap]](https://prankmike.com/img/explorer/B2/windows-explorer-high-power-usage-fixed-1.png)
