El registre de seguretat està ple (ID d'esdeveniment 1104)

Al Visualitzador d'esdeveniments, els errors registrats són habituals i trobareu diferents errors amb diferents identificadors d'esdeveniments. Els esdeveniments que es registren als registres de seguretat solen ser qualsevol de les paraules clau Èxit o fracàs de l'auditoria . En aquest post, parlarem El registre de seguretat està ple (ID d'esdeveniment 1104) incloent per què s'activa aquest esdeveniment i les accions que podeu realitzar en aquesta situació, ja sigui en una màquina client o servidor.

Tal com indica la descripció de l'esdeveniment, aquest esdeveniment es genera cada vegada que el registre de seguretat de Windows s'omple. Per exemple, si s'ha arribat a la mida màxima del fitxer de registre d'esdeveniments de seguretat i el mètode de retenció del registre d'esdeveniments ho és No sobreescriu els esdeveniments (Esborra els registres manualment) tal com es descriu en aquest Documentació de Microsoft . A continuació es mostren les opcions de la configuració del registre d'esdeveniments de seguretat:

• Sobreescriu els esdeveniments segons sigui necessari (els més antics primer) – Aquesta és la configuració predeterminada. Un cop s'arribi a la mida màxima del registre, els elements més antics s'eliminaran per deixar pas als nous.
• Arxiveu el registre quan estigui ple, no sobreescriu els esdeveniments – Si seleccioneu aquesta opció, Windows desarà automàticament el registre quan s'arribi a la mida màxima del registre i en crearà un de nou. El registre s'arxivarà allà on s'emmagatzemi el registre de seguretat. De manera predeterminada, serà a la següent ubicació %SystemRoot%\SYSTEM32\WINEVT\LOGS . Podeu veure les propietats del visualitzador d'esdeveniments d'inici de sessió per determinar la ubicació exacta.
• No sobreescriu els esdeveniments (Esborra els registres manualment) – Si seleccioneu aquesta opció i el registre d'esdeveniments arriba a la mida màxima, no s'escriuran més esdeveniments fins que el registre s'esborri manualment.

Per comprovar o modificar la configuració del registre d'esdeveniments de seguretat, el primer que potser voldreu canviar seria el Mida màxima del registre (KB) – la mida màxima del fitxer de registre és de 20 MB (20480 KB). Més enllà d'això, decidiu la vostra política de retenció tal com s'indica més amunt.

El registre de seguretat està ple (ID d'esdeveniment 1104)

Quan s'aconsegueix el límit superior de la mida del fitxer d'esdeveniment del registre de seguretat i no hi ha espai per registrar més esdeveniments, el Identificador d'esdeveniment 1104: el registre de seguretat està ple es registrarà indicant que el fitxer de registre està ple i que heu de realitzar qualsevol de les accions immediates següents.

1. Activa la sobreescritura del registre al Visor d'esdeveniments
2. Arxiva el registre d'esdeveniments de seguretat de Windows
3. Esborra manualment el registre de seguretat

Vegem amb detall aquestes accions recomanades.

1] Activeu la sobreescritura del registre al Visor d'esdeveniments

De manera predeterminada, el registre de seguretat està configurat per sobreescriure els esdeveniments segons sigui necessari. Quan activeu l'opció de sobreescriure de registres, això permetrà que el Visor d'esdeveniments sobreescrigui els registres antics, estalviant al seu torn que la memòria s'ompli. Per tant, heu d'assegurar-vos que aquesta opció està activada seguint aquests passos:

• Premeu el botó Tecla Windows + R per invocar el diàleg Executar.
• Al quadre de diàleg Executar, escriviu eventvwr i premeu Enter per obrir el Visor d'esdeveniments.
• Expandir Registres de Windows .
• Feu clic Seguretat .
• Al panell dret, sota el Accions menú, seleccioneu Propietats . Alternativament, feu clic amb el botó dret a Registre de seguretat al panell de navegació esquerre i seleccioneu Propietats .
• Ara, sota el Quan s'arriba a la mida màxima del registre d'esdeveniments secció, seleccioneu el botó d'opció per a Sobreescriu els esdeveniments segons sigui necessari (els més antics primer) opció.
• Feu clic Aplicar > D'acord .

Llegeix : Com veure els registres d'esdeveniments a Windows amb detall

2] Arxiveu el registre d'esdeveniments de seguretat de Windows

En un entorn conscient de la seguretat (especialment en una empresa/organització), pot ser necessari o obligat arxivar el registre d'esdeveniments de seguretat de Windows. Això es pot fer mitjançant el Visor d'esdeveniments, tal com es mostra més amunt, seleccionant Arxiveu el registre quan estigui ple, no sobreescriu els esdeveniments opció, o per crear i executar un script de PowerShell utilitzant el codi següent. L'script de PowerShell comprovarà la mida del registre d'esdeveniments de seguretat i l'arxivarà si cal. Els passos que realitza l'script són els següents:

l'accés als serveis es denega

• Si el registre d'esdeveniments de seguretat és inferior a 250 MB, s'escriu un esdeveniment informatiu al registre d'esdeveniments de l'aplicació
• Si el registre supera els 250 MB
  • El registre s'arxiva a D:\Logs\OS.
  • Si l'operació d'arxiu falla, s'escriu un esdeveniment d'error al registre d'esdeveniments de l'aplicació i s'envia un correu electrònic.
  • Si l'operació d'arxiu té èxit, s'escriu un esdeveniment informatiu al registre d'esdeveniments de l'aplicació i s'envia un correu electrònic.

Abans d'utilitzar l'script al vostre entorn, configureu les variables següents:

• $ArchiveSize: estableix el límit de mida del registre desitjat (MB)
• $ArchiveFolder – Establiu un camí existent on voleu que vagin els arxius de registre
• $mailMsgServer: s'estableix en un servidor SMTP vàlid
• $mailMsgFrom: defineix una adreça de correu electrònic de FROM vàlida
• $MailMsgTo: defineix una adreça de correu electrònic TO vàlida

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Llegeix : Com programar l'script de PowerShell al Programador de tasques

Si voleu, podeu utilitzar un fitxer XML per establir que l'script s'executi cada hora. Per a això, deseu el codi següent en un fitxer XML i després importar-lo al Programador de tasques . Assegureu-vos de canviar el secció al nom de la carpeta/fitxer on heu desat l'script.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Llegeix: L'XML de la tasca conté un valor connectat incorrectament o fora de l'interval

Un cop hàgiu habilitat o configurat l'arxivatge dels registres, els registres més antics es desaran i no es sobreescriuran amb els registres més nous. Així que ara endavant, Windows arxivarà el registre quan s'arribi a la mida màxima del registre i el desarà al directori (si no és el predeterminat) que heu especificat. El fitxer arxivat s'anomenarà a Arxiu-- format, per exemple, Arxiu-Seguretat-2023-02-14-18-05-34 . El fitxer arxivat ara es pot utilitzar per localitzar esdeveniments anteriors.

Llegeix : Llegiu el registre d'esdeveniments de Windows Defender mitjançant WinDefLogView

3] Esborreu manualment el registre de seguretat

Si heu establert la política de retenció a No sobreescriu els esdeveniments (Esborra els registres manualment) , ho hauràs de fer esborreu manualment el registre de seguretat utilitzant qualsevol dels mètodes següents.

selfie stick de Windows Phone

• Visor d'esdeveniments
• Utilitat WEVTUTIL.exe
• Fitxer per lots

Això és!

Ara llegiu : Esdeveniments que falten al registre d'esdeveniments

Quin identificador d'esdeveniment es detecta programari maliciós?

L'ID de registre d'esdeveniments de seguretat de Windows 4688 indica que s'ha detectat programari maliciós al sistema. Per exemple, si hi ha programari maliciós present al vostre sistema Windows, la cerca de l'esdeveniment 4688 revelarà qualsevol procés executat per aquest programa malintencionat. Amb aquesta informació, podeu realitzar una exploració ràpida, programar una exploració de Windows Defender , o executeu una exploració fora de línia de Defender .

Quin és l'identificador de seguretat de l'esdeveniment d'inici de sessió?

Al Visor d'esdeveniments, el Identificador d'esdeveniment 4624 s'iniciarà cada intent d'iniciar sessió amb èxit en un ordinador local. Aquest esdeveniment es genera a l'ordinador al qual s'ha accedit, és a dir, on es va crear la sessió d'inici de sessió. L'esdeveniment Tipus d'inici de sessió 11: CachedInteractive indica un usuari que ha iniciat sessió en un ordinador amb credencials de xarxa emmagatzemades localment a l'ordinador. No s'ha contactat amb el controlador de domini per verificar les credencials.

Llegeix : El servei de registre d'esdeveniments de Windows no s'inicia o no està disponible .