Notikumu skatītājā reģistrētās kļūdas ir izplatītas, un jūs saskarsities ar dažādām kļūdām ar dažādiem notikumu ID. Notikumi, kas tiek reģistrēti drošības žurnālos, parasti ir kāds no atslēgvārdiem Revīzijas panākumi vai audita neveiksmes . Šajā amatā mēs apspriedīsim Drošības žurnāls tagad ir pilns (notikuma ID 1104) tostarp, kāpēc šis notikums tiek aktivizēts, un darbības, kuras varat veikt šajā situācijā klienta vai servera mašīnā.
Kā norādīts notikuma aprakstā, šis notikums tiek ģenerēts katru reizi, kad Windows drošības žurnāls kļūst pilns. Piemēram, ja tika sasniegts maksimālais drošības notikumu žurnāla faila lielums un notikumu žurnāla saglabāšanas metode ir Nepārrakstīt notikumus (manuāli notīrīt žurnālus) kā aprakstīts šajā Microsoft dokumentācija . Tālāk ir norādītas drošības notikumu žurnāla iestatījumu opcijas.
pārslēgt audio ierīces karsto taustiņu
- Pārrakstīt notikumus pēc vajadzības (vecākie notikumi vispirms) – Šis ir noklusējuma iestatījums. Kad būs sasniegts maksimālais žurnāla lielums, vecāki vienumi tiks dzēsti, lai atbrīvotu vietu jauniem.
- Arhivējiet žurnālu, kad tas ir pilns, nepārrakstiet notikumus – Ja atlasāt šo opciju, sistēma Windows automātiski saglabās žurnālu, kad tiks sasniegts maksimālais žurnāla lielums, un izveidos jaunu. Žurnāls tiks arhivēts visur, kur tiek glabāts drošības žurnāls. Pēc noklusējuma tas atradīsies tālāk norādītajā vietā %SystemRoot%\SYSTEM32\WINEVT\LOGS . Varat apskatīt pieteikšanās notikumu skatītāja rekvizītus, lai noteiktu precīzu atrašanās vietu.
- Nepārrakstīt notikumus (manuāli notīrīt žurnālus) – Ja atlasāt šo opciju un notikumu žurnāls sasniedz maksimālo lielumu, turpmāki notikumi netiks rakstīti, kamēr žurnāls netiks manuāli notīrīts.
Lai pārbaudītu vai mainītu drošības notikumu žurnāla iestatījumus, pirmā lieta, ko, iespējams, vēlēsities mainīt, ir Maksimālais žurnāla izmērs (KB) – maksimālais žurnālfaila lielums ir 20 MB (20480 KB). Turklāt izlemiet par savu saglabāšanas politiku, kā aprakstīts iepriekš.
Drošības žurnāls tagad ir pilns (notikuma ID 1104)
Kad ir sasniegta drošības žurnāla notikumu faila izmēra augšējā robeža un vairs nav vietas, lai reģistrētu vairāk notikumu, Notikuma ID 1104: drošības žurnāls tagad ir pilns tiks reģistrēts, norādot, ka žurnālfails ir pilns, un jums nekavējoties jāveic kāda no tālāk norādītajām darbībām.
- Iespējot žurnāla pārrakstīšanu notikumu skatītājā
- Arhivējiet Windows drošības notikumu žurnālu
- Manuāli notīriet drošības žurnālu
Apskatīsim šīs ieteicamās darbības sīkāk.
1] Iespējot žurnāla pārrakstīšanu notikumu skatītājā
Pēc noklusējuma drošības žurnāls ir konfigurēts, lai pēc vajadzības pārrakstītu notikumus. Ieslēdzot žurnālu pārrakstīšanas opciju, notikumu skatītājs varēs pārrakstīt vecos žurnālus, tādējādi pasargājot atmiņu no pilnas. Tātad, jums ir jāpārliecinās, vai šī opcija ir iespējota, veicot šādas darbības:
- Nospiediet pogu Windows taustiņš + R lai izsauktu dialoglodziņu Palaist.
- Dialoglodziņā Palaist ierakstiet eventvwr un nospiediet taustiņu Enter, lai atvērtu notikumu skatītāju.
- Izvērst Windows žurnāli .
- Klikšķis Drošība .
- Labajā rūtī zem Darbības izvēlnē atlasiet Īpašības . Vai arī ar peles labo pogu noklikšķiniet uz Drošības žurnāls kreisajā navigācijas rūtī un atlasiet Īpašības .
- Tagad, zem Kad ir sasniegts maksimālais notikumu žurnāla lielums sadaļā atlasiet radio pogu Pārrakstīt notikumus pēc vajadzības (vecākie notikumi vispirms) opciju.
- Klikšķis Pieteikties > labi .
Lasīt : Kā detalizēti skatīt notikumu žurnālus sistēmā Windows
2] Arhivējiet Windows drošības notikumu žurnālu
Vidē, kurā tiek ievērota drošība (jo īpaši uzņēmumā/organizācijā), var būt nepieciešams vai pilnvarots arhivēt Windows drošības notikumu žurnālu. To var izdarīt, izmantojot notikumu skatītāju, kā parādīts iepriekš, atlasot Arhivējiet žurnālu, kad tas ir pilns, nepārrakstiet notikumus opciju, vai pēc PowerShell skripta izveide un palaišana izmantojot tālāk norādīto kodu. PowerShell skripts pārbaudīs drošības notikumu žurnāla lielumu un vajadzības gadījumā to arhivēs. Skripta darbības ir šādas:
- Ja drošības notikumu žurnāls ir mazāks par 250 MB, lietojumprogrammas notikumu žurnālā tiek ierakstīts informatīvs notikums
- Ja žurnāla lielums pārsniedz 250 MB
- Žurnāls tiek arhivēts uz D:\Logs\OS.
- Ja arhīva darbība neizdodas, lietojumprogrammas notikumu žurnālā tiek ierakstīts kļūdas notikums un tiek nosūtīts e-pasts.
- Ja arhīva darbība izdodas, lietojumprogrammas notikumu žurnālā tiek ierakstīts informatīvs notikums un tiek nosūtīts e-pasts.
Pirms skripta izmantošanas savā vidē, konfigurējiet šādus mainīgos:
- $ArchiveSize — iestatiet vēlamo žurnāla lieluma ierobežojumu (MB)
- $ArchiveFolder — iestatiet esošu ceļu, uz kuru vēlaties doties žurnālfailu arhīviem
- $mailMsgServer — iestatiet uz derīgu SMTP serveri
- $mailMsgFrom — iestatiet uz derīgu FROM e-pasta adresi
- $MailMsgTo — iestatiet uz derīgu TO e-pasta adresi
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Lasīt : Kā ieplānot PowerShell skriptu uzdevumu plānotājā
Ja vēlaties, varat izmantot XML failu, lai iestatītu skriptu palaist katru stundu. Šim nolūkam saglabājiet šo kodu XML failā un pēc tam importējiet to uzdevumu plānotājā . Noteikti mainiet
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Lasīt: Task XML satur vērtību, kas ir nepareizi savienota vai ārpus diapazona
Kad esat iespējojis vai konfigurējis žurnālu arhivēšanu, vecākie žurnāli tiks saglabāti un netiks pārrakstīti ar jaunākiem žurnāliem. Tagad sistēma Windows arhivēs žurnālu, kad tiks sasniegts maksimālais žurnāla lielums, un saglabās to jūsu norādītajā direktorijā (ja tas nav noklusējuma). Arhivētajam failam tiks piešķirts nosaukums Arhīvs-
Lasīt : Lasiet Windows Defender notikumu žurnālu, izmantojot WinDefLogView
3] Manuāli notīriet drošības žurnālu
aizmugures uzbrukuma piemērs
Ja saglabāšanas politiku esat iestatījis uz Nepārrakstīt notikumus (manuāli notīrīt žurnālus) , jums tas būs nepieciešams manuāli notīriet drošības žurnālu izmantojot kādu no tālāk norādītajām metodēm.
- Notikumu skatītājs
- WEVTUTIL.exe utilīta
- Pakešu fails
Tieši tā!
Tagad lasiet : Notikumu žurnālā trūkst notikumu
Kurš notikuma ID ir atklāts ļaunprogrammatūra?
Windows drošības notikumu žurnāla ID 4688 norāda, ka sistēmā ir konstatēta ļaunprātīga programmatūra. Piemēram, ja jūsu Windows sistēmā ir ļaunprātīga programmatūra, meklēšanas notikums 4688 atklās visus procesus, ko veic šī ļaunprātīgā programma. Izmantojot šo informāciju, varat veikt ātru skenēšanu, ieplānojiet Windows Defender skenēšanu , vai palaist Defender bezsaistes skenēšanu .
Kāds ir pieteikšanās notikuma drošības ID?
Notikumu skatītājā, Pasākuma ID 4624 tiks reģistrēts katrā veiksmīgā mēģinājumā pieteikties vietējā datorā. Šis notikums tiek ģenerēts datorā, kuram tika piekļūts, citiem vārdiem sakot, kur tika izveidota pieteikšanās sesija. Pasākums Pieteikšanās veids 11: CachedInteractive norāda lietotāju, kas ir pieteicies datorā ar tīkla akreditācijas datiem, kas tika saglabāti lokāli datorā. Ar domēna kontrolleri netika sazināties, lai pārbaudītu akreditācijas datus.
Lasīt : Windows notikumu žurnāla pakalpojums netiek startēts vai nav pieejams .
