Trong Trình xem sự kiện, các lỗi được ghi lại là phổ biến và bạn sẽ gặp các lỗi khác nhau với các ID sự kiện khác nhau. Các sự kiện được ghi lại trong nhật ký bảo mật thường sẽ là một trong hai từ khóa Kiểm toán thành công hoặc thất bại kiểm toán . Trong bài đăng này, chúng ta sẽ thảo luận Nhật ký bảo mật hiện đã đầy (ID sự kiện 1104) bao gồm lý do tại sao sự kiện này được kích hoạt và các hành động bạn có thể thực hiện trong tình huống này cho dù trên máy khách hay máy chủ.
Như mô tả sự kiện cho biết, sự kiện này tạo ra mỗi khi nhật ký bảo mật của Windows đầy. Ví dụ: nếu đã đạt đến kích thước tối đa của tệp Nhật ký sự kiện bảo mật và phương pháp lưu giữ nhật ký sự kiện là Không ghi đè sự kiện (Xóa nhật ký thủ công) như được mô tả trong này tài liệu của Microsoft . Sau đây là các tùy chọn trong cài đặt nhật ký sự kiện bảo mật:
- Ghi đè sự kiện khi cần (sự kiện cũ nhất trước) - Đây là thiết lập mặc định. Khi đạt đến kích thước nhật ký tối đa, các mục cũ hơn sẽ bị xóa để nhường chỗ cho các mục mới.
- Lưu trữ nhật ký khi đầy, không ghi đè lên các sự kiện – Nếu bạn chọn tùy chọn này, Windows sẽ tự động lưu nhật ký khi đạt đến kích thước nhật ký tối đa và tạo một nhật ký mới. Nhật ký sẽ được lưu trữ bất cứ nơi nào nhật ký bảo mật đang được lưu trữ. Theo mặc định, đây sẽ là vị trí sau %SystemRoot%\SYSTEM32\WINEVT\LOGS . Bạn có thể xem các thuộc tính của Trình xem sự kiện đăng nhập để xác định vị trí chính xác.
- Không ghi đè sự kiện (Xóa nhật ký thủ công) – Nếu bạn chọn tùy chọn này và nhật ký sự kiện đạt đến kích thước tối đa, sẽ không có sự kiện nào khác được ghi cho đến khi nhật ký được xóa theo cách thủ công.
Để kiểm tra hoặc sửa đổi cài đặt nhật ký sự kiện bảo mật, điều đầu tiên bạn có thể muốn thay đổi là Kích thước nhật ký tối đa (KB) – kích thước tệp nhật ký tối đa là 20 MB (20480 KB). Ngoài ra, hãy quyết định chính sách lưu giữ của bạn như đã nêu ở trên.
Nhật ký bảo mật hiện đã đầy (ID sự kiện 1104)
Khi đạt đến giới hạn trên của kích thước tệp Sự kiện Nhật ký Bảo mật và không còn chỗ để ghi thêm sự kiện, ID sự kiện 1104: Nhật ký bảo mật hiện đã đầy sẽ được ghi lại cho biết rằng tệp nhật ký đã đầy và bạn cần thực hiện ngay bất kỳ hành động nào sau đây.
- Cho phép ghi đè nhật ký trong Trình xem sự kiện
- Lưu trữ nhật ký sự kiện bảo mật Windows
- Xóa nhật ký bảo mật theo cách thủ công
Hãy xem chi tiết các hành động được đề xuất này.
phông chữ mac cho windows
1] Cho phép ghi đè nhật ký trong Trình xem sự kiện
Theo mặc định, nhật ký bảo mật được cấu hình để ghi đè các sự kiện khi cần. Khi bạn bật tùy chọn ghi đè nhật ký, điều này sẽ cho phép Trình xem sự kiện ghi đè lên các nhật ký cũ, từ đó tiết kiệm bộ nhớ khỏi bị đầy. Vì vậy, bạn cần đảm bảo rằng tùy chọn này được bật bằng cách thực hiện theo các bước sau:
- Nhấn nút Phím Windows + R để gọi hộp thoại Run.
- Trong hộp thoại Run, gõ sự kiệnvwr và nhấn Enter để mở Trình xem sự kiện.
- Mở rộng Nhật ký Windows .
- Nhấp chuột Bảo vệ .
- Trên ngăn bên phải, bên dưới hành động trình đơn, chọn Của cải . Ngoài ra, nhấp chuột phải vào Nhật ký bảo mật trên ngăn điều hướng bên trái và chọn Của cải .
- Giờ đây, dưới sự Khi đạt đến kích thước nhật ký sự kiện tối đa phần, hãy chọn nút radio cho Ghi đè sự kiện khi cần (sự kiện cũ nhất trước) lựa chọn.
- Nhấp chuột Áp dụng > ĐƯỢC RỒI .
Đọc : Cách xem chi tiết Nhật ký sự kiện trong Windows
2] Lưu trữ nhật ký sự kiện bảo mật Windows
Trong môi trường có ý thức bảo mật (đặc biệt là trong doanh nghiệp/tổ chức), có thể cần hoặc bắt buộc phải lưu trữ nhật ký sự kiện bảo mật Windows. Điều này có thể được thực hiện thông qua Trình xem sự kiện như được hiển thị ở trên bằng cách chọn Lưu trữ nhật ký khi đầy, không ghi đè lên các sự kiện tùy chọn, hoặc bằng cách tạo và chạy tập lệnh PowerShell sử dụng mã dưới đây. Tập lệnh PowerShell sẽ kiểm tra kích thước của nhật ký sự kiện bảo mật và lưu trữ nếu cần. Các bước được thực hiện bởi tập lệnh như sau:
- Nếu nhật ký sự kiện bảo mật dưới 250 MB, một sự kiện thông tin sẽ được ghi vào Nhật ký sự kiện ứng dụng
- Nếu nhật ký trên 250 MB
- Nhật ký được lưu trữ vào D:\Logs\OS.
- Nếu thao tác lưu trữ không thành công, một sự kiện lỗi sẽ được ghi vào Nhật ký sự kiện ứng dụng và một e-mail sẽ được gửi đi.
- Nếu thao tác lưu trữ thành công, một sự kiện thông tin sẽ được ghi vào nhật ký sự kiện Ứng dụng và một e-mail sẽ được gửi.
Trước khi sử dụng tập lệnh trong môi trường của bạn, hãy định cấu hình các biến sau:
- $ArchiveSize – Đặt thành giới hạn kích thước nhật ký mong muốn (MB)
- $ArchiveFolder – Đặt thành một đường dẫn hiện có nơi bạn muốn lưu trữ tệp nhật ký
- $mailMsgServer – Đặt thành máy chủ SMTP hợp lệ
- $mailMsgFrom – Đặt thành địa chỉ email TỪ hợp lệ
- $MailMsgTo – Đặt thành địa chỉ email TO hợp lệ
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Đọc : Cách lên lịch tập lệnh PowerShell trong Trình lập lịch tác vụ
Nếu muốn, bạn có thể sử dụng tệp XML để đặt tập lệnh chạy mỗi giờ. Đối với điều này, hãy lưu đoạn mã sau vào một tệp XML và sau đó nhập nó vào Trình lập lịch tác vụ . Đảm bảo thay đổi <Đối số> vào thư mục/tên tệp mà bạn đã lưu tập lệnh.
firefox nightly vs aurora
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Đọc: Nhiệm vụ XML chứa một giá trị được kết nối không chính xác hoặc nằm ngoài phạm vi
Khi bạn đã bật hoặc định cấu hình lưu trữ nhật ký, các nhật ký cũ nhất sẽ được lưu và sẽ không bị ghi đè bằng các nhật ký mới hơn. Vì vậy, bây giờ trở đi, Windows sẽ lưu trữ nhật ký khi đạt đến kích thước nhật ký tối đa và lưu nó vào thư mục (nếu không phải là mặc định) mà bạn đã chỉ định. Tệp lưu trữ sẽ được đặt tên trong Lưu trữ-
Đọc : Đọc Nhật ký sự kiện của Bộ bảo vệ Windows bằng WinDefLogView
3] Xóa nhật ký bảo mật theo cách thủ công
Nếu bạn đã đặt chính sách lưu giữ thành Không ghi đè sự kiện (Xóa nhật ký thủ công) , bạn sẽ cần đến xóa nhật ký bảo mật theo cách thủ công sử dụng bất kỳ phương pháp nào sau đây.
- Trình xem sự kiện
- Tiện ích WEVTUTIL.exe
- tập tin hàng loạt
Đó là nó!
Hãy đọc ngay bây giờ : Sự kiện bị thiếu trong Nhật ký sự kiện
Phần mềm độc hại được phát hiện có ID sự kiện nào?
Nhật ký sự kiện bảo mật Windows ID 4688 cho biết phần mềm độc hại đã được phát hiện trên hệ thống. Ví dụ: nếu có phần mềm độc hại xuất hiện trên hệ thống Windows của bạn, thì việc tìm kiếm sự kiện 4688 sẽ tiết lộ bất kỳ quy trình nào được thực thi bởi chương trình có chủ ý xấu đó. Với thông tin đó, bạn có thể thực hiện quét nhanh, lên lịch quét Windows Defender , hoặc chạy quét Ngoại tuyến của Defender .
ID bảo mật cho sự kiện đăng nhập là gì?
Trong Trình xem sự kiện, ID sự kiện 4624 sẽ được đăng nhập sau mỗi lần đăng nhập thành công vào máy tính cục bộ. Nói cách khác, sự kiện này được tạo trên máy tính đã được truy cập, nơi phiên đăng nhập được tạo. Sự kiện Loại đăng nhập 11: CachedInteractive cho biết người dùng đã đăng nhập vào máy tính bằng thông tin xác thực mạng được lưu trữ cục bộ trên máy tính. Bộ điều khiển miền không được liên hệ để xác minh thông tin xác thực.
Đọc : Dịch vụ nhật ký sự kiện Windows không khởi động hoặc không khả dụng .
