Olay Görüntüleyici'de günlüğe kaydedilen hatalar yaygındır ve farklı Olay Kimliklerine sahip farklı hatalarla karşılaşırsınız. Güvenlik günlüklerine kaydedilen olaylar genellikle anahtar sözcüklerden biri olacaktır. Denetim Başarısı veya Denetim Başarısızlığı . Bu yazıda tartışacağız Güvenlik günlüğü artık dolu (Olay Kimliği 1104) bu olayın neden tetiklendiği ve bu durumda bir istemci veya sunucu makinesinde gerçekleştirebileceğiniz eylemler dahil.
Olay açıklamasında belirtildiği gibi, bu olay Windows güvenlik günlüğü her dolduğunda oluşur. Örneğin, Güvenlik Olay Günlüğü dosyasının maksimum boyutuna ulaşıldıysa ve olay günlüğü tutma yöntemi şu şekildeyse: Olayların üzerine yazma (Günlükleri manuel olarak temizle) bu tarif edildiği gibi Microsoft belgeleri . Aşağıdakiler, güvenlik olay günlüğü ayarlarındaki seçeneklerdir:
- Gerektiğinde olayların üzerine yaz (önce en eski olaylar) – Bu, varsayılan ayardır. Maksimum günlük boyutuna ulaşıldığında, yeni öğelere yer açmak için eski öğeler silinecektir.
- Günlüğü dolduğunda arşivleyin, olayların üzerine yazmayın – Bu seçeneği seçerseniz, Windows maksimum günlük boyutuna ulaşıldığında günlüğü otomatik olarak kaydedecek ve yeni bir tane oluşturacaktır. Günlük, güvenlik günlüğünün saklandığı her yerde arşivlenecektir. Varsayılan olarak, bu aşağıdaki konumda olacaktır %SystemRoot%\SYSTEM32\WINEVT\LOGS . Tam konumu belirlemek için oturum açma Olay Görüntüleyicisinin özelliklerini görüntüleyebilirsiniz.
- Olayların üzerine yazma (Günlükleri manuel olarak temizle) – Bu seçeneği seçerseniz ve olay günlüğü maksimum boyutuna ulaşırsa, günlük manuel olarak temizlenene kadar başka olay yazılmaz.
Güvenlik olay günlüğü ayarlarınızı kontrol etmek veya değiştirmek için değiştirmek isteyebileceğiniz ilk şey, Maksimum günlük boyutu (KB) – maksimum günlük dosyası boyutu 20 MB'dir (20480 KB). Bunun ötesinde, saklama politikanıza yukarıda belirtilen şekilde karar verin.
Güvenlik günlüğü artık dolu (Olay Kimliği 1104)
Güvenlik Günlüğü Olayı dosya boyutunun üst sınırına ulaşıldığında ve daha fazla olayı günlüğe kaydetmek için yer kalmadığında, Olay Kimliği 1104: Güvenlik günlüğü artık dolu günlük dosyasının dolu olduğunu gösterecek şekilde günlüğe kaydedilir ve aşağıdaki acil işlemlerden herhangi birini gerçekleştirmeniz gerekir.
- Olay Görüntüleyicide günlük üzerine yazmayı etkinleştir
- Windows güvenlik olay günlüğünü arşivleyin
- Güvenlik Günlüğünü manuel olarak temizleyin
Bu önerilen eylemleri ayrıntılı olarak görelim.
1] Olay Görüntüleyicide günlük üzerine yazmayı etkinleştir
Varsayılan olarak, güvenlik günlüğü, gerektiğinde olayların üzerine yazılacak şekilde yapılandırılmıştır. Günlüklerin üzerine yazma seçeneğini açtığınızda, bu, Olay Görüntüleyicinin eski günlüklerin üzerine yazmasına olanak tanıyarak belleğin dolmasını önler. Bu nedenle, aşağıdaki adımları izleyerek bu seçeneğin etkinleştirildiğinden emin olmanız gerekir:
proxy sunucusuna bağlanılamıyor
- basın Windows tuşu + R Çalıştır iletişim kutusunu çağırmak için.
- Çalıştır iletişim kutusuna yazın olay vwr ve Olay Görüntüleyiciyi açmak için Enter tuşuna basın.
- Genişletmek Windows Günlükleri .
- Tıklamak Güvenlik .
- Sağ bölmede, altında Hareketler menü, seç Özellikler . Alternatif olarak, sağ tıklayın Güvenlik günlüğü sol gezinti bölmesinde ve seçin Özellikler .
- Şimdi, altında Maksimum olay günlüğü boyutuna ulaşıldığında bölümü için radyo düğmesini seçin. Gerektiğinde olayların üzerine yaz (önce en eski olaylar) seçenek.
- Tıklamak Uygula > TAMAM .
Okumak : Windows'ta Olay Günlüklerini ayrıntılı olarak görüntüleme
2] Windows güvenlik olay günlüğünü arşivleyin
Güvenlik bilincine sahip bir ortamda (özellikle bir kuruluşta/kuruluşta), Windows güvenlik olay günlüğünün arşivlenmesi gerekli veya zorunlu olabilir. Bu, Olay Görüntüleyici aracılığıyla yukarıda gösterildiği gibi Günlüğü dolduğunda arşivleyin, olayların üzerine yazmayın seçenek veya tarafından PowerShell betiği oluşturma ve çalıştırma aşağıdaki kodu kullanarak. PowerShell betiği, güvenlik olay günlüğünün boyutunu kontrol edecek ve gerekirse arşivleyecektir. Komut dosyası tarafından gerçekleştirilen adımlar aşağıdaki gibidir:
- Güvenlik olay günlüğü 250 MB'nin altındaysa, Uygulama olay günlüğüne bilgilendirici bir olay yazılır
- Günlük 250 MB'ın üzerindeyse
- Günlük, D:\Logs\OS konumunda arşivlenir.
- Arşiv işlemi başarısız olursa, Uygulama olay günlüğüne bir hata olayı yazılır ve bir e-posta gönderilir.
- Arşiv işlemi başarılı olursa, Uygulama olay günlüğüne bilgilendirici bir olay yazılır ve bir e-posta gönderilir.
Betiği ortamınızda kullanmadan önce aşağıdaki değişkenleri yapılandırın:
- $ArchiveSize - İstenen günlük boyutu sınırını (MB) ayarlayın
- $ArchiveFolder – Günlük dosyası arşivlerinin gitmesini istediğiniz mevcut bir yola ayarlayın
- $mailMsgServer – Geçerli bir SMTP sunucusuna ayarlayın
- $mailMsgFrom – Geçerli bir KİMDEN e-posta adresine ayarlayın
- $MailMsgTo – Geçerli bir TO e-posta adresine ayarlayın
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Okumak : Görev Zamanlayıcı'da PowerShell komut dosyası nasıl zamanlanır
İsterseniz, komut dosyasını her saat çalışacak şekilde ayarlamak için bir XML dosyası kullanabilirsiniz. Bunun için aşağıdaki kodu bir XML dosyasına kaydedin ve ardından Görev Zamanlayıcı'ya aktarın . değiştirdiğinizden emin olun.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Okumak: Görev XML'i yanlış bağlanmış veya aralık dışında bir değer içeriyor
Günlüklerin arşivlenmesini etkinleştirdikten veya yapılandırdıktan sonra, en eski günlükler kaydedilir ve yeni günlükler üzerine yazılmaz. Artık Windows, maksimum günlük boyutuna ulaşıldığında günlüğü arşivleyecek ve belirttiğiniz dizine (varsayılan değilse) kaydedecektir. Arşivlenen dosya şu şekilde adlandırılacaktır: Arşiv-
Okumak : WinDefLogView kullanarak Windows Defender Olay Günlüğünü Okuyun
3] Güvenlik Günlüğünü manuel olarak temizleyin
Saklama ilkesini şu şekilde ayarladıysanız: Olayların üzerine yazma (Günlükleri manuel olarak temizle) , ihtiyacın olacak güvenlik günlüğünü manuel olarak temizle Aşağıdaki yöntemlerden herhangi birini kullanarak.
- Etkinlik göstericisi
- WEVTUTIL.exe yardımcı programı
- Toplu dosya
Bu kadar!
Şimdi Oku : Olay Günlüğünde Eksik Olaylar
Kötü amaçlı yazılım algılanan Olay Kimliği nedir?
Windows güvenlik olay günlüğü kimliği 4688, sistemde kötü amaçlı yazılım tespit edildiğini gösterir. Örneğin, Windows sisteminizde kötü amaçlı yazılım varsa, olay 4688'i aramak, bu kötü niyetli program tarafından yürütülen tüm işlemleri ortaya çıkarır. Bu bilgilerle hızlı bir tarama gerçekleştirebilir, bir Windows Defender taraması planlayın , veya Defender Çevrimdışı taraması çalıştırın .
Oturum açma olayı için güvenlik kimliği nedir?
Olay Görüntüleyicide, Olay Kimliği 4624 yerel bir bilgisayarda oturum açmaya yönelik her başarılı girişimde oturum açılacaktır. Bu olay, erişilen yani oturumun oluşturulduğu bilgisayarda oluşturulur. Olay Oturum açma türü 11: CachedInteractive bilgisayarda yerel olarak depolanan ağ kimlik bilgileriyle bir bilgisayarda oturum açmış bir kullanıcıyı gösterir. Kimlik bilgilerini doğrulamak için etki alanı denetleyicisiyle bağlantı kurulmadı.
Okumak : Windows Olay Günlüğü Hizmeti başlamıyor veya kullanılamıyor .
