יומן האבטחה מלא כעת (מזהה אירוע 1104)

Ywmn H Bthh Ml K T Mzhh Yrw 1104



במציג אירועים, השגיאות שנרשמו הן שכיחות, ותתקל בשגיאות שונות עם מזהי אירועים שונים. האירועים המתועדים ביומני האבטחה יהיו בדרך כלל אחת ממילות המפתח הביקורת הצלחה או כישלון הביקורת . בפוסט זה, נדון יומן האבטחה מלא כעת (מזהה אירוע 1104) כולל מדוע אירוע זה מופעל והפעולות שאתה יכול לבצע במצב זה בין אם על מחשב לקוח או שרת.



יומן האבטחה מלא כעת (מזהה אירוע 1104)



כפי שמציין תיאור האירוע, אירוע זה נוצר בכל פעם שיומן האבטחה של Windows מתמלא. לדוגמה, אם הגודל המרבי של קובץ יומן האירועים האבטחה הושג ושיטת שימור יומן האירועים היא אל תחליף אירועים (נקה יומנים באופן ידני) כפי שמתואר בזה תיעוד של מיקרוסופט . להלן האפשרויות בהגדרות יומן אירועי האבטחה:



  • החלף אירועים לפי הצורך (האירועים הישנים ביותר תחילה) – זוהי הגדרת ברירת המחדל. ברגע שמגיעים לגודל היומן המרבי, פריטים ישנים יותר יימחקו כדי לפנות מקום לפריטים חדשים.
  • שמור את היומן בארכיון כשהוא מלא, אל תחליף אירועים - אם תבחר באפשרות זו, Windows ישמור אוטומטית את היומן כאשר יושג גודל היומן המרבי וייצור יומן חדש. היומן יישמר בארכיון בכל מקום שבו יומן האבטחה מאוחסן. כברירת מחדל, זה יהיה במיקום הבא %SystemRoot%\SYSTEM32\WINEVT\LOGS . אתה יכול להציג את המאפיינים של מציג האירועים לכניסה כדי לקבוע את המיקום המדויק.
  • אל תחליף אירועים (נקה יומנים באופן ידני) – אם תבחר באפשרות זו ויומן האירועים יגיע לגודל המקסימלי, לא ייכתבו אירועים נוספים עד לניקוי היומן באופן ידני.

כדי לבדוק או לשנות את הגדרות יומן אירועי האבטחה שלך, הדבר הראשון שתרצה לשנות יהיה גודל יומן מקסימלי (KB) – גודל קובץ היומן המרבי הוא 20 מגה-בייט (20480 קילו-בייט). מעבר לכך, החליטו על מדיניות השמירה שלכם לפי המפורט לעיל.



יומן האבטחה מלא כעת (מזהה אירוע 1104)

כאשר הגבול העליון של גודל קובץ אירוע יומן האבטחה מושג, ואין מקום לתיעוד אירועים נוספים, מזהה אירוע 1104: יומן האבטחה מלא כעת תירשם ותציין שקובץ היומן מלא, ואתה צריך לבצע כל אחת מהפעולות המיידיות הבאות.

  1. אפשר את החלפת יומן במציג האירועים
  2. שמור את יומן אירועי האבטחה של Windows בארכיון
  3. נקה ידנית את יומן האבטחה

הבה נראה את הפעולות המומלצות הללו בפירוט.

1] אפשר את החלפת יומן במציג האירועים

אפשר את החלפת יומן במציג האירועים



כברירת מחדל, יומן האבטחה מוגדר לדרוס אירועים לפי הצורך. כאשר אתה מפעיל את אפשרות החלפת יומנים, זה יאפשר למציג האירועים להחליף את היומנים הישנים, ובתמורה יחסוך את הזיכרון מלהתמלא. לכן, עליך לוודא שהאפשרות הזו מופעלת על ידי ביצוע השלבים הבאים:

  • הקש על מקש Windows + R כדי להפעיל את תיבת הדו-שיח הפעלה.
  • בתיבת הדו-שיח הפעלה, הקלד eventvwr ולחץ על Enter כדי לפתוח את מציג האירועים.
  • לְהַרְחִיב יומני Windows .
  • נְקִישָׁה בִּטָחוֹן .
  • בחלונית הימנית, מתחת ל- פעולות תפריט, בחר נכסים . לחלופין, לחץ לחיצה ימנית על יומן אבטחה בחלונית הניווט השמאלית ובחר נכסים .
  • עכשיו, מתחת ל כשמגיעים לגודל יומן אירועים מקסימלי בקטע, בחר בלחצן הבחירה עבור החלף אירועים לפי הצורך (האירועים הישנים ביותר תחילה) אוֹפְּצִיָה.
  • נְקִישָׁה להגיש מועמדות > בסדר .

לקרוא : כיצד להציג יומני אירועים ב-Windows בפירוט

2] שמור את יומן אירועי האבטחה של Windows בארכיון

בסביבה מודעת אבטחה (במיוחד בארגון/ארגון), ייתכן שיהיה צורך או חובה לאחסן את יומן אירועי האבטחה של Windows. ניתן לעשות זאת דרך מציג האירועים כפי שמוצג לעיל על ידי בחירה ב- שמור את היומן בארכיון כשהוא מלא, אל תחליף אירועים אפשרות, או לפי יצירה והרצה של סקריפט PowerShell באמצעות הקוד למטה. סקריפט PowerShell יבדוק את גודל יומן אירועי האבטחה ויעביר אותו לארכיון במידת הצורך. השלבים שמבצע הסקריפט הם כדלקמן:

  • אם יומן אירועי האבטחה נמוך מ-250 מגה-בייט, אירוע מידע נכתב ליומן אירועי היישום
  • אם היומן גדול מ-250 MB
    • היומן נשמר בארכיון D:\Logs\OS.
    • אם פעולת הארכיון נכשלת, אירוע שגיאה נכתב ליומן האירועים של היישום ונשלח דואר אלקטרוני.
    • אם פעולת הארכיון מצליחה, אירוע אינפורמטיבי נכתב ליומן האירועים של האפליקציה ונשלח דואר אלקטרוני.

לפני השימוש בסקריפט בסביבה שלך, הגדר את המשתנים הבאים:

  • $ArchiveSize - הגדר למגבלת גודל יומן הרצוי (MB)
  • $ArchiveFolder - הגדר לנתיב קיים שאליו תרצה שארכיוני קבצי היומן יעברו
  • $mailMsgServer - הגדר לשרת SMTP חוקי
  • $mailMsgFrom - הגדר לכתובת דואר אלקטרוני FROM חוקית
  • $MailMsgTo - הגדר לכתובת דואר אלקטרוני חוקית של TO
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

לקרוא : כיצד לתזמן סקריפט PowerShell ב-Task Scheduler

אם תרצה, תוכל להשתמש בקובץ XML כדי להגדיר את הסקריפט לפעול כל שעה. לשם כך, שמור את הקוד הבא בקובץ XML ולאחר מכן לייבא אותו למתזמן המשימות . הקפד לשנות את <טיעונים> קטע אל התיקיה/שם הקובץ שבו שמרת את הסקריפט.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

לקרוא: ה-XML של המשימה מכיל ערך המחובר באופן שגוי או מחוץ לטווח

לאחר שהפעלת או הגדרת את אחסון היומנים בארכיון, היומנים הישנים ביותר יישמרו ולא יוחלפו ביומנים חדשים יותר. אז מעכשיו והלאה, Windows יאחסן את היומן בארכיון כאשר גודל היומן המרבי יגיע ותשמור אותו בספרייה (אם לא ברירת המחדל) שציינת. הקובץ הארכיון יקבל שם ב ארכיון-

- פורמט, למשל, ארכיון-אבטחה-2023-02-14-18-05-34 . כעת ניתן להשתמש בקובץ הארכיון כדי להתחקות אחר אירועים ישנים יותר.

לקרוא : קרא את יומן האירועים של Windows Defender באמצעות WinDefLogView

3] נקה ידנית את יומן האבטחה

נקה ידנית את יומן האבטחה

אם הגדרת את מדיניות השמירה ל אל תחליף אירועים (נקה יומנים באופן ידני) , אתה תצטרך ל נקה ידנית את יומן האבטחה באמצעות כל אחת מהשיטות הבאות.

  • צופה באירועים
  • כלי השירות WEVTUTIL.exe
  • קובץ אצווה

זהו זה!

כיצד להקליט קול ב - Powerpoint - -

עכשיו תקרא : אירועים חסרים ביומן האירועים

איזה מזהה אירוע מזוהה תוכנה זדונית?

מזהה יומן אירועי האבטחה של Windows 4688 מציין שזוהתה תוכנה זדונית במערכת. לדוגמה, אם יש תוכנה זדונית במערכת Windows שלך, חיפוש באירוע 4688 יגלה את כל התהליכים שבוצעו על ידי אותה תוכנית עם כוונות לא טובות. עם המידע הזה, אתה יכול לבצע סריקה מהירה, תזמן סריקה של Windows Defender , או להפעיל סריקת Defender Offline .

מהו מזהה האבטחה של אירוע הכניסה?

במציג האירועים, ה מזהה אירוע 4624 יירשם בכל ניסיון כניסה מוצלח למחשב מקומי. אירוע זה נוצר במחשב שאליו הגישה, במילים אחרות, שבו נוצרה הפעלת הכניסה. האירוע סוג כניסה 11: CachedInteractive מציין משתמש המחובר למחשב עם אישורי רשת שנשמרו באופן מקומי במחשב. לא נוצר קשר עם בקר הדומיין כדי לאמת את האישורים.

לקרוא : שירות יומן האירועים של Windows אינו מופעל או אינו זמין .

קטגוריה
יומני אירועים
מומלץ
Icecream Photo Editor מאפשר לך לחתוך, לשנות גודל, להוסיף מסננים, ליצור קולאז'ים עם התמונות שלך
Icecream Photo Editor מאפשר לך לחתוך, לשנות גודל, להוסיף מסננים, ליצור קולאז'ים עם התמונות שלך
תוכנה חופשית
כיצד לתקן 9anime Server Error 500
כיצד לתקן 9anime Server Error 500
אתרי אינטרנט
לא ניתן לסגור את Excel ב-Windows 11/10
לא ניתן לסגור את Excel ב-Windows 11/10
לְהִצטַיֵן
תוכנת החלפת פנקסים בחינם עבור Windows 10
תוכנת החלפת פנקסים בחינם עבור Windows 10
הורדות
רשום פופולרי
אודותינו
Prankmike מספק טיפים, הנחיות, הוראות עבור Windows 10, פונקציות ותוכנה חופשית.
קטגוריות
הכי נצפה
Copyright © 2024כל הזכויות שמורות | prankmike.com | מדיניות פרטיות