Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)

Het Beveiligingslogboek Is Nu Vol Gebeurtenis Id 1104



In Event Viewer zijn de geregistreerde fouten veelvoorkomend en zult u verschillende fouten tegenkomen met verschillende gebeurtenis-ID's. De gebeurtenissen die in de beveiligingslogboeken worden vastgelegd, zijn meestal een van de trefwoorden Auditsucces of auditfalen . In dit bericht zullen we bespreken Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104) inclusief waarom deze gebeurtenis wordt geactiveerd en de acties die u in deze situatie kunt uitvoeren, zowel op een client- als op een servermachine.



Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)



Zoals de gebeurtenisbeschrijving aangeeft, wordt deze gebeurtenis gegenereerd telkens wanneer het Windows-beveiligingslogboek vol raakt. Als de maximale grootte van het bestand Beveiligingsgebeurtenislogboek bijvoorbeeld is bereikt en de bewaarmethode van het gebeurtenislogboek is bereikt Gebeurtenissen niet overschrijven (Logboeken handmatig wissen) zoals hierin beschreven Microsoft-documentatie . Dit zijn de opties in de instellingen van het logboek voor beveiligingsgebeurtenissen:



  • Overschrijf gebeurtenissen indien nodig (oudste gebeurtenissen eerst) – Dit is de standaardinstelling. Zodra de maximale loggrootte is bereikt, worden oudere items verwijderd om plaats te maken voor nieuwe items.
  • Archiveer het logboek wanneer het vol is, overschrijf geen gebeurtenissen – Als u deze optie selecteert, zal Windows automatisch het logboek opslaan wanneer de maximale logboekgrootte is bereikt en een nieuw logboek maken. Het logboek wordt gearchiveerd waar het beveiligingslogboek ook wordt opgeslagen. Standaard zal dit op de volgende locatie zijn %SystemRoot%\SYSTEM32\WINEVT\LOGS . U kunt de eigenschappen van de log-in Event Viewer bekijken om de exacte locatie te bepalen.
  • Gebeurtenissen niet overschrijven (Logboeken handmatig wissen) – Als u deze optie selecteert en het gebeurtenislogboek de maximale grootte bereikt, worden er geen verdere gebeurtenissen geschreven totdat het logboek handmatig wordt gewist.

Als u de instellingen van uw logboek voor beveiligingsgebeurtenissen wilt controleren of wijzigen, is het eerste dat u misschien wilt wijzigen de Maximale logboekgrootte (KB) – de maximale logbestandsgrootte is 20 MB (20480 KB). Beslis verder over uw bewaarbeleid zoals hierboven beschreven.



Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)

Wanneer de bovengrens van de bestandsgrootte van het beveiligingslogboek is bereikt en er geen ruimte is om meer gebeurtenissen te loggen, wordt het Gebeurtenis-ID 1104: het beveiligingslogboek is nu vol wordt gelogd om aan te geven dat het logbestand vol is en dat u een van de volgende onmiddellijke acties moet uitvoeren.

  1. Schakel het overschrijven van logboeken in Event Viewer in
  2. Archiveer het Windows-beveiligingsgebeurtenislogboek
  3. Wis het beveiligingslogboek handmatig

Laten we deze aanbevolen acties in detail bekijken.

1] Schakel het overschrijven van logboeken in Event Viewer in

Schakel het overschrijven van logboeken in Event Viewer in



Het beveiligingslogboek is standaard geconfigureerd om gebeurtenissen naar behoefte te overschrijven. Wanneer u de optie voor het overschrijven van logboeken inschakelt, kan Logboeken de oude logboeken overschrijven, waardoor het geheugen niet vol raakt. U moet er dus voor zorgen dat deze optie is ingeschakeld door deze stappen te volgen:

  • druk de Windows-toets + R om het dialoogvenster Uitvoeren op te roepen.
  • Typ in het dialoogvenster Uitvoeren evenementvwr en druk op Enter om Event Viewer te openen.
  • Uitbreiden Windows-logboeken .
  • Klik Beveiliging .
  • In het rechterdeelvenster, onder de Acties menu, selecteer Eigenschappen . U kunt ook met de rechtermuisknop op het Beveiligingslogboek in het linkernavigatievenster en selecteer Eigenschappen .
  • Nu, onder de Wanneer de maximale grootte van het gebeurtenislogboek is bereikt sectie, selecteert u het keuzerondje voor de Overschrijf gebeurtenissen indien nodig (oudste gebeurtenissen eerst) keuze.
  • Klik Toepassen > OK .

Lezen : Gebeurtenislogboeken in Windows in detail bekijken

2] Archiveer het Windows-beveiligingsgebeurtenislogboek

In een beveiligingsbewuste omgeving (vooral in een onderneming/organisatie) kan het nodig of verplicht zijn om het Windows-beveiligingsgebeurtenislogboek te archiveren. Dit kan worden gedaan via de Event Viewer zoals hierboven weergegeven door de te selecteren Archiveer het logboek wanneer het vol is, overschrijf geen gebeurtenissen optie, of door een PowerShell-script maken en uitvoeren met onderstaande code. Het PowerShell-script controleert de grootte van het beveiligingsgebeurtenislogboek en archiveert het indien nodig. De stappen die door het script worden uitgevoerd, zijn als volgt:

  • Als het beveiligingsgebeurtenislogboek kleiner is dan 250 MB, wordt een informatieve gebeurtenis naar het toepassingsgebeurtenislogboek geschreven
  • Als het logboek groter is dan 250 MB
    • Het logboek wordt gearchiveerd in D:\Logs\OS.
    • Als de archivering mislukt, wordt er een foutgebeurtenis naar het toepassingsgebeurtenislogboek geschreven en wordt er een e-mail verzonden.
    • Als de archiveringsbewerking slaagt, wordt er een informatieve gebeurtenis naar het toepassingsgebeurtenislogboek geschreven en wordt er een e-mail verzonden.

Configureer de volgende variabelen voordat u het script in uw omgeving gebruikt:

windows 7 enkele klik
  • $ArchiveSize – Stel in op de gewenste limiet voor loggrootte (MB)
  • $ArchiveFolder - Stel in op een bestaand pad waar u de logbestandarchieven naartoe wilt
  • $mailMsgServer – Stel in op een geldige SMTP-server
  • $mailMsgFrom – Stel in op een geldig VAN-e-mailadres
  • $MailMsgTo – Stel in op een geldig TO-e-mailadres
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Lezen : PowerShell-script plannen in Taakplanner

Als u wilt, kunt u een XML-bestand gebruiken om het script zo in te stellen dat het elk uur wordt uitgevoerd. Sla hiervoor de volgende code op in een XML-bestand en dan importeer het in Taakplanner . Zorg ervoor dat u de sectie toe aan de map-/bestandsnaam waarin u het script hebt opgeslagen.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Lezen: Taak-XML bevat een waarde die onjuist is gekoppeld of buiten het bereik valt

Zodra u het archiveren van de logboeken hebt ingeschakeld of geconfigureerd, worden de oudste logboeken opgeslagen en niet overschreven door nieuwere logboeken. Dus nu zal Windows het logboek archiveren wanneer de maximale logboekgrootte is bereikt en opslaan in de map (indien niet de standaard) die u hebt opgegeven. Het gearchiveerde bestand krijgt de naam in Archief-- formaat, bijvoorbeeld Archief-Beveiliging-2023-02-14-18-05-34 . Het gearchiveerde bestand kan nu worden gebruikt om oudere gebeurtenissen op te sporen.

Lezen : Lees Windows Defender Event Log met behulp van WinDefLogView

3] Wis het beveiligingslogboek handmatig

Wis het beveiligingslogboek handmatig

meerdere svchost exe

Als u het bewaarbeleid hebt ingesteld op Gebeurtenissen niet overschrijven (Logboeken handmatig wissen) , je zal moeten het beveiligingslogboek handmatig wissen met behulp van een van de volgende methoden.

  • Gebeurtenisviewer
  • WEVTUTIL.exe hulpprogramma
  • Batch bestand

Dat is het!

Nu lezen : Ontbrekende gebeurtenissen in het gebeurtenislogboek

Welke gebeurtenis-ID is malware gedetecteerd?

Het Windows-beveiligingsgebeurtenislogboek ID 4688 geeft aan dat er malware op het systeem is gedetecteerd. Als er bijvoorbeeld malware op uw Windows-systeem aanwezig is, zal zoekgebeurtenis 4688 alle processen onthullen die door dat slechtbedoelde programma worden uitgevoerd. Met die informatie kunt u een quick scan uitvoeren, plan een Windows Defender-scan , of voer een Defender Offline-scan uit .

Wat is de beveiligings-ID voor de aanmeldingsgebeurtenis?

In Logboeken, de Gebeurtenis-ID 4624 wordt aangemeld bij elke succesvolle poging om in te loggen op een lokale computer. Deze gebeurtenis wordt gegenereerd op de computer waartoe toegang is verkregen, met andere woorden, waar de aanmeldingssessie is gemaakt. De gebeurtenis Aanmeldingstype 11: CachedInteractive geeft aan dat een gebruiker is aangemeld bij een computer met netwerkreferenties die lokaal op de computer zijn opgeslagen. Er is geen contact opgenomen met de domeincontroller om de referenties te verifiëren.

Lezen : Windows Event Log-service start niet of is niet beschikbaar .

Categorie
Gebeurtenislogboeken
Aanbevolen
Hoe vind ik een domeinnaam Windows 10?
Hoe vind ik een domeinnaam Windows 10?
Bloggen
Hoe retoucheren van foto's in GIMP?
Hoe retoucheren van foto's in GIMP?
Afbeeldingen
Nieuwe lettertypen downloaden en installeren voor GIMP Photo Editor
Nieuwe lettertypen downloaden en installeren voor GIMP Photo Editor
Algemeen
Test de computermonitor voor gaming en motion control
Test de computermonitor voor gaming en motion control
Ramen
Populaire Berichten
Wie Zijn Wij?
Prankmike Geeft Tips, Richtlijnen, Instructies Voor Windows 10, Functies En Vrije Software.
Categorieën
Meest Bekeken
Copyright © 2024Alle Rechten Voorbehouden | prankmike.com | Privacybeleid