В средстве просмотра событий зарегистрированные ошибки являются общими, и вы столкнетесь с разными ошибками с разными идентификаторами событий. События, которые записываются в журналы безопасности, обычно относятся к одному из ключевых слов Успех аудита или провал аудита . В этом посте мы обсудим Журнал безопасности теперь заполнен (идентификатор события 1104). включая причину возникновения этого события и действия, которые вы можете выполнить в этой ситуации, будь то на клиентском или серверном компьютере.
фон черный экран
Как указано в описании события, это событие генерируется каждый раз, когда журнал безопасности Windows переполняется. Например, если был достигнут максимальный размер файла журнала событий безопасности и выбран метод хранения журнала событий. Не перезаписывать события (Очистить журналы вручную) как описано в этом документация Майкрософт . Ниже приведены параметры в настройках журнала событий безопасности:
- Перезаписывайте события по мере необходимости (сначала самые старые события) - Это значение по умолчанию. Как только будет достигнут максимальный размер журнала, старые элементы будут удалены, чтобы освободить место для новых элементов.
- Архивировать журнал при заполнении, не перезаписывать события – Если вы выберете этот параметр, Windows автоматически сохранит журнал при достижении максимального размера журнала и создаст новый. Журнал будет заархивирован везде, где хранится журнал безопасности. По умолчанию это будет в следующем месте %SystemRoot%\SYSTEM32\WINEVT\LOGS . Вы можете просмотреть свойства средства просмотра событий входа, чтобы определить точное местоположение.
- Не перезаписывать события (Очистить журналы вручную) – Если вы выберете эту опцию и журнал событий достигнет максимального размера, дальнейшие события не будут записываться до тех пор, пока журнал не будет очищен вручную.
Чтобы проверить или изменить настройки журнала событий безопасности, первое, что вы можете изменить, это Максимальный размер журнала (КБ) – максимальный размер файла журнала составляет 20 МБ (20480 КБ). Кроме того, выберите свою политику хранения, как указано выше.
Журнал безопасности теперь заполнен (идентификатор события 1104).
Когда достигнут верхний предел размера файла журнала событий безопасности и нет места для регистрации дополнительных событий, Идентификатор события 1104: журнал безопасности заполнен. будет зарегистрировано, указывая на то, что файл журнала заполнен, и вам необходимо выполнить одно из следующих немедленных действий.
- Включить перезапись журнала в средстве просмотра событий
- Архивировать журнал событий безопасности Windows
- Вручную очистить журнал безопасности
Давайте подробно рассмотрим эти рекомендуемые действия.
1] Включить перезапись журнала в средстве просмотра событий
0x97e107df
По умолчанию журнал безопасности настроен на перезапись событий по мере необходимости. Когда вы включаете опцию перезаписи журналов, это позволяет средству просмотра событий перезаписывать старые журналы, что, в свою очередь, предотвращает переполнение памяти. Итак, вам нужно убедиться, что эта опция включена, выполнив следующие действия:
- нажмите Клавиша Windows + R для вызова диалогового окна «Выполнить».
- В диалоговом окне «Выполнить» введите событиеvwr и нажмите Enter, чтобы открыть средство просмотра событий.
- Расширять Журналы Windows .
- Нажмите Безопасность .
- На правой панели под Действия меню, выберите Характеристики . Или щелкните правой кнопкой мыши на Журнал безопасности на левой панели навигации и выберите Характеристики .
- Теперь, под При достижении максимального размера журнала событий раздел, выберите переключатель для Перезаписывайте события по мере необходимости (сначала самые старые события) вариант.
- Нажмите Применять > ХОРОШО .
Читать : Как подробно просмотреть журналы событий в Windows
2] Заархивируйте журнал событий безопасности Windows.
В среде, заботящейся о безопасности (особенно на предприятии/организации), может быть необходимо или предписано архивировать журнал событий безопасности Windows. Это можно сделать с помощью средства просмотра событий, как показано выше, выбрав Архивировать журнал при заполнении, не перезаписывать события вариант или по создание и запуск скрипта PowerShell используя приведенный ниже код. Сценарий PowerShell проверит размер журнала событий безопасности и при необходимости заархивирует его. Действия, выполняемые скриптом, следующие:
- Если размер журнала событий безопасности меньше 250 МБ, в журнал событий приложений записывается информационное событие.
- Если журнал превышает 250 МБ
- Журнал архивируется в D:\Logs\OS.
- В случае сбоя операции архивирования в журнал событий приложения записывается событие ошибки и отправляется электронное письмо.
- Если операция архивирования прошла успешно, в журнал событий приложений записывается информационное событие и отправляется электронное письмо.
Прежде чем использовать сценарий в вашей среде, настройте следующие переменные:
- $ArchiveSize — установить желаемый предельный размер журнала (МБ)
- $ArchiveFolder — установите существующий путь, по которому вы хотите, чтобы архивы файлов журнала находились
- $mailMsgServer — установить действительный SMTP-сервер
- $mailMsgFrom — установить действительный адрес электронной почты ОТ
- $MailMsgTo – Установите действительный адрес электронной почты TO
Читать : Как запланировать сценарий PowerShell в планировщике заданий
Если вы хотите, вы можете использовать файл XML, чтобы настроить запуск сценария каждый час. Для этого сохраните следующий код в файле XML, а затем импортируйте его в планировщик заданий . Обязательно измените <Аргументы> на имя папки/файла, в котором вы сохранили скрипт.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Читать: XML-код задачи содержит значение, которое неправильно подключено или находится вне допустимого диапазона.
После того как вы включили или настроили архивирование журналов, самые старые журналы будут сохранены и не будут перезаписаны более новыми журналами. Итак, теперь Windows будет архивировать журнал, когда будет достигнут максимальный размер журнала, и сохранит его в указанном вами каталоге (если не в каталоге по умолчанию). Заархивированный файл будет называться в Архив-<Раздел>-<Дата/Время> формат, например, Архив-Безопасность-2023-02-14-18-05-34 . Архивный файл теперь можно использовать для отслеживания более старых событий.
Ошибка организатора мода при открытии файла
Читать : Чтение журнала событий Защитника Windows с помощью WinDefLogView
приложения для домашнего дизайна для windows
3] Вручную очистить журнал безопасности
Если вы установили политику хранения на Не перезаписывать события (Очистить журналы вручную) , вам нужно будет вручную очистить журнал безопасности с помощью любого из следующих методов.
- Просмотрщик событий
- Утилита WEVTUTIL.exe
- Пакетный файл
Вот и все!
Теперь прочитайте : Отсутствующие события в журнале событий
Какой идентификатор события обнаружен вредоносным ПО?
Журнал событий безопасности Windows с идентификатором 4688 указывает на то, что в системе обнаружено вредоносное ПО. Например, если в вашей системе Windows присутствует вредоносное ПО, событие поиска 4688 выявит все процессы, выполняемые этой злонамеренной программой. Имея эту информацию, вы можете выполнить быстрое сканирование, запланировать сканирование Защитника Windows , или запустить автономную проверку Защитника .
Что такое идентификатор безопасности для события входа в систему?
В средстве просмотра событий Идентификатор события 4624 будет регистрироваться при каждой успешной попытке входа на локальный компьютер. Это событие генерируется на компьютере, к которому осуществлялся доступ, другими словами, на котором был создан сеанс входа в систему. Событие Тип входа 11: CachedInteractive указывает, что пользователь вошел в систему на компьютере с сетевыми учетными данными, которые были сохранены локально на компьютере. С контроллером домена не связывались для проверки учетных данных.
Читать : Служба журнала событий Windows не запускается или недоступна .
