บันทึกความปลอดภัยเต็มแล้ว (รหัสเหตุการณ์ 1104)

ใน Event Viewer ข้อผิดพลาดที่บันทึกเป็นเรื่องปกติ และคุณจะพบข้อผิดพลาดต่างๆ ที่มีรหัสเหตุการณ์ต่างกัน เหตุการณ์ที่บันทึกไว้ในบันทึกความปลอดภัยมักจะเป็นคีย์เวิร์ดอย่างใดอย่างหนึ่ง การตรวจสอบสำเร็จหรือล้มเหลวในการตรวจสอบ . ในโพสต์นี้เราจะหารือ บันทึกความปลอดภัยเต็มแล้ว (รหัสเหตุการณ์ 1104) รวมถึงเหตุใดเหตุการณ์นี้จึงถูกทริกเกอร์และการดำเนินการที่คุณสามารถทำได้ในสถานการณ์นี้ไม่ว่าจะบนเครื่องไคลเอนต์หรือเซิร์ฟเวอร์

ตามคำอธิบายเหตุการณ์ เหตุการณ์นี้สร้างขึ้นทุกครั้งที่บันทึกความปลอดภัยของ Windows เต็ม ตัวอย่างเช่น หากถึงขนาดสูงสุดของไฟล์ Security Event Log และวิธีการเก็บรักษาบันทึกเหตุการณ์คือ อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) ตามที่อธิบายไว้ในนี้ เอกสารประกอบของ Microsoft . ต่อไปนี้คือตัวเลือกในการตั้งค่าบันทึกเหตุการณ์ด้านความปลอดภัย:

• เขียนทับเหตุการณ์ตามต้องการ (เหตุการณ์ที่เก่าที่สุดก่อน) - นี่คือการตั้งค่าเริ่มต้น. เมื่อถึงขนาดบันทึกสูงสุดแล้ว รายการเก่าจะถูกลบเพื่อหลีกทางให้กับรายการใหม่
• เก็บบันทึกเมื่อเต็ม ไม่เขียนทับเหตุการณ์ – หากคุณเลือกตัวเลือกนี้ Windows จะบันทึกบันทึกโดยอัตโนมัติเมื่อถึงขนาดบันทึกสูงสุดแล้วสร้างใหม่ บันทึกจะถูกเก็บถาวรทุกที่ที่มีการจัดเก็บบันทึกความปลอดภัย โดยค่าเริ่มต้น จะอยู่ที่ตำแหน่งต่อไปนี้ %SystemRoot%\SYSTEM32\WINEVT\LOGS . คุณสามารถดูคุณสมบัติของตัวแสดงเหตุการณ์การเข้าสู่ระบบเพื่อระบุตำแหน่งที่แน่นอน
• อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) – หากคุณเลือกตัวเลือกนี้และบันทึกเหตุการณ์ถึงขนาดสูงสุด จะไม่มีการเขียนเหตุการณ์เพิ่มเติมจนกว่าจะล้างบันทึกด้วยตนเอง

หากต้องการตรวจสอบหรือแก้ไขการตั้งค่าบันทึกเหตุการณ์ด้านความปลอดภัย สิ่งแรกที่คุณอาจต้องการเปลี่ยนแปลงคือ ขนาดบันทึกสูงสุด (KB) – ขนาดไฟล์บันทึกสูงสุดคือ 20 MB (20480 KB) นอกเหนือจากนั้น ให้ตัดสินใจเกี่ยวกับนโยบายการเก็บรักษาของคุณตามที่ระบุไว้ข้างต้น

บันทึกความปลอดภัยเต็มแล้ว (รหัสเหตุการณ์ 1104)

เมื่อถึงขีดจำกัดสูงสุดของขนาดไฟล์ Security Log Event และไม่มีที่ว่างสำหรับบันทึกเหตุการณ์เพิ่มเติม รหัสเหตุการณ์ 1104: บันทึกความปลอดภัยเต็มแล้ว จะถูกบันทึกโดยระบุว่าไฟล์บันทึกเต็ม และคุณต้องดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้ทันที

วิธีเปลี่ยนจากการเชื่อมต่อแบบไร้สายเป็นแบบใช้สาย windows 10

1. เปิดใช้งานการเขียนทับบันทึกใน Event Viewer
2. เก็บแฟ้มบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows
3. ล้างบันทึกความปลอดภัยด้วยตนเอง

เรามาดูรายละเอียดการดำเนินการที่แนะนำเหล่านี้กัน

1] เปิดใช้งานการเขียนทับบันทึกใน Event Viewer

ตามค่าเริ่มต้น บันทึกความปลอดภัยได้รับการกำหนดค่าให้เขียนทับเหตุการณ์ตามความจำเป็น เมื่อคุณเปิดตัวเลือกการเขียนทับบันทึก จะทำให้ Event Viewer สามารถเขียนทับบันทึกเก่าได้ ซึ่งจะช่วยประหยัดหน่วยความจำไม่ให้เต็ม ดังนั้น คุณต้องตรวจสอบให้แน่ใจว่าเปิดใช้งานตัวเลือกนี้โดยทำตามขั้นตอนเหล่านี้:

• กด ปุ่ม Windows + R เพื่อเรียกใช้ไดอะล็อก Run
• ในกล่องโต้ตอบ เรียกใช้ พิมพ์ เหตุการณ์ และกด Enter เพื่อเปิดตัวแสดงเหตุการณ์
• ขยาย บันทึกของ Windows .
• คลิก ความปลอดภัย .
• ในบานหน้าต่างด้านขวา ภายใต้ การกระทำ เมนู เลือก คุณสมบัติ . หรือคลิกขวาที่ บันทึกความปลอดภัย ในบานหน้าต่างนำทางด้านซ้าย แล้วเลือก คุณสมบัติ .
• ตอนนี้ภายใต้ เมื่อถึงขนาดบันทึกเหตุการณ์สูงสุด ส่วน เลือกปุ่มตัวเลือกสำหรับ เขียนทับเหตุการณ์ตามต้องการ (เหตุการณ์ที่เก่าที่สุดก่อน) ตัวเลือก.
• คลิก นำมาใช้ > ตกลง .

อ่าน : วิธีดูบันทึกเหตุการณ์ใน Windows โดยละเอียด

2] เก็บบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows

ในสภาพแวดล้อมที่คำนึงถึงความปลอดภัย (โดยเฉพาะในองค์กร/องค์กร) อาจจำเป็นหรือได้รับคำสั่งให้เก็บบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows สามารถทำได้ผ่าน Event Viewer ดังที่แสดงด้านบนโดยเลือก เก็บบันทึกเมื่อเต็ม ไม่เขียนทับเหตุการณ์ ตัวเลือกหรือโดย การสร้างและเรียกใช้สคริปต์ PowerShell โดยใช้รหัสด้านล่าง สคริปต์ PowerShell จะตรวจสอบขนาดของบันทึกเหตุการณ์ความปลอดภัยและเก็บถาวรหากจำเป็น ขั้นตอนดำเนินการโดยสคริปต์มีดังนี้:

• หากบันทึกเหตุการณ์ด้านความปลอดภัยมีขนาดต่ำกว่า 250 MB เหตุการณ์ที่ให้ข้อมูลจะถูกเขียนลงในบันทึกเหตุการณ์ของแอปพลิเคชัน
• หากบันทึกมีขนาดเกิน 250 MB
  • บันทึกถูกเก็บถาวรไว้ที่ D:\Logs\OS
  • หากการดำเนินการเก็บถาวรล้มเหลว เหตุการณ์ข้อผิดพลาดจะถูกเขียนไปยังบันทึกเหตุการณ์ของแอปพลิเคชันและอีเมลจะถูกส่งไป
  • หากการดำเนินการเก็บถาวรสำเร็จ เหตุการณ์ที่ให้ข้อมูลจะถูกเขียนลงในบันทึกเหตุการณ์ของแอปพลิเคชันและอีเมลจะถูกส่ง

ก่อนใช้สคริปต์ในสภาพแวดล้อมของคุณ ให้กำหนดคอนฟิกตัวแปรต่อไปนี้:

• $ArchiveSize – ตั้งค่าขีดจำกัดขนาดบันทึกที่ต้องการ (MB)
• $ArchiveFolder – ตั้งค่าเป็นเส้นทางที่มีอยู่ซึ่งคุณต้องการให้เก็บไฟล์บันทึกไป
• $mailMsgServer – ตั้งค่าเป็นเซิร์ฟเวอร์ SMTP ที่ถูกต้อง
• $mailMsgFrom – ตั้งค่าเป็นที่อยู่อีเมล FROM ที่ถูกต้อง
• $MailMsgTo – ตั้งค่าเป็นที่อยู่อีเมล TO ที่ถูกต้อง

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

อ่าน : วิธีกำหนดเวลาสคริปต์ PowerShell ใน Task Scheduler

หากต้องการ คุณสามารถใช้ไฟล์ XML เพื่อตั้งค่าสคริปต์ให้ทำงานทุกชั่วโมง สำหรับสิ่งนี้ ให้บันทึกโค้ดต่อไปนี้ลงในไฟล์ XML จากนั้น นำเข้าสู่ Task Scheduler . ตรวจสอบให้แน่ใจว่าได้เปลี่ยน <อาร์กิวเมนต์> ส่วนชื่อโฟลเดอร์/ไฟล์ที่คุณบันทึกสคริปต์

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

อ่าน: XML ของงานมีค่าที่เชื่อมต่อไม่ถูกต้องหรืออยู่นอกช่วง

เมื่อคุณเปิดใช้งานหรือกำหนดค่าการเก็บถาวรบันทึกแล้ว บันทึกที่เก่าที่สุดจะถูกบันทึก และจะไม่ถูกเขียนทับด้วยบันทึกที่ใหม่กว่า ตั้งแต่นี้เป็นต้นไป Windows จะเก็บบันทึกเมื่อถึงขนาดบันทึกสูงสุด และบันทึกลงในไดเร็กทอรี (หากไม่ใช่ค่าเริ่มต้น) ที่คุณระบุไว้ ไฟล์ที่เก็บถาวรจะถูกตั้งชื่อใน เอกสารเก่า-<ส่วน>-<วันที่/เวลา> รูปแบบ เช่น เอกสารเก่า-ความปลอดภัย-2023-02-14-18-05-34 . ตอนนี้สามารถใช้ไฟล์ที่เก็บถาวรเพื่อติดตามเหตุการณ์ที่เก่ากว่าได้

อ่าน : อ่านบันทึกเหตุการณ์ของ Windows Defender โดยใช้ WinDefLogView

3] ล้างบันทึกความปลอดภัยด้วยตนเอง

หากคุณได้ตั้งค่านโยบายการเก็บรักษาเป็น อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) คุณจะต้อง ล้างบันทึกความปลอดภัยด้วยตนเอง โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้

• ผู้ชมเหตุการณ์
• โปรแกรมอรรถประโยชน์ WEVTUTIL.exe
• ไฟล์ชุด

แค่นั้นแหละ!

ตอนนี้อ่าน : เหตุการณ์ที่ขาดหายไปในบันทึกเหตุการณ์

รหัสเหตุการณ์ใดที่ตรวจพบมัลแวร์

รหัสบันทึกเหตุการณ์ความปลอดภัยของ Windows 4688 บ่งชี้ว่าตรวจพบมัลแวร์ในระบบ ตัวอย่างเช่น หากมีมัลแวร์อยู่ในระบบ Windows ของคุณ เหตุการณ์การค้นหา 4688 จะเปิดเผยกระบวนการใดๆ ที่ดำเนินการโดยโปรแกรมที่ไม่ประสงค์ดีนั้น ด้วยข้อมูลดังกล่าว คุณสามารถทำการสแกนอย่างรวดเร็ว กำหนดการสแกน Windows Defender , หรือ เรียกใช้การสแกน Defender แบบออฟไลน์ .

รหัสความปลอดภัยสำหรับกิจกรรมการเข้าสู่ระบบคืออะไร

ใน Event Viewer, the รหัสเหตุการณ์ 4624 จะถูกบันทึกในทุกความพยายามที่สำเร็จในการเข้าสู่ระบบเครื่องคอมพิวเตอร์ เหตุการณ์นี้ถูกสร้างขึ้นบนคอมพิวเตอร์ที่มีการเข้าถึง หรือกล่าวอีกนัยหนึ่งว่าเซสชันการเข้าสู่ระบบถูกสร้างขึ้น เหตุการณ์ ประเภทการเข้าสู่ระบบ 11: CachedInteractive ระบุว่าผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ด้วยข้อมูลรับรองเครือข่ายที่จัดเก็บไว้ในเครื่องคอมพิวเตอร์ ตัวควบคุมโดเมนไม่ได้รับการติดต่อเพื่อตรวจสอบข้อมูลประจำตัว

อ่าน : Windows Event Log Service ไม่เริ่มทำงานหรือไม่พร้อมใช้งาน .