ใน Event Viewer ข้อผิดพลาดที่บันทึกเป็นเรื่องปกติ และคุณจะพบข้อผิดพลาดต่างๆ ที่มีรหัสเหตุการณ์ต่างกัน เหตุการณ์ที่บันทึกไว้ในบันทึกความปลอดภัยมักจะเป็นคีย์เวิร์ดอย่างใดอย่างหนึ่ง การตรวจสอบสำเร็จหรือล้มเหลวในการตรวจสอบ . ในโพสต์นี้เราจะหารือ บันทึกความปลอดภัยเต็มแล้ว (รหัสเหตุการณ์ 1104) รวมถึงเหตุใดเหตุการณ์นี้จึงถูกทริกเกอร์และการดำเนินการที่คุณสามารถทำได้ในสถานการณ์นี้ไม่ว่าจะบนเครื่องไคลเอนต์หรือเซิร์ฟเวอร์
ตามคำอธิบายเหตุการณ์ เหตุการณ์นี้สร้างขึ้นทุกครั้งที่บันทึกความปลอดภัยของ Windows เต็ม ตัวอย่างเช่น หากถึงขนาดสูงสุดของไฟล์ Security Event Log และวิธีการเก็บรักษาบันทึกเหตุการณ์คือ อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) ตามที่อธิบายไว้ในนี้ เอกสารประกอบของ Microsoft . ต่อไปนี้คือตัวเลือกในการตั้งค่าบันทึกเหตุการณ์ด้านความปลอดภัย:
- เขียนทับเหตุการณ์ตามต้องการ (เหตุการณ์ที่เก่าที่สุดก่อน) - นี่คือการตั้งค่าเริ่มต้น. เมื่อถึงขนาดบันทึกสูงสุดแล้ว รายการเก่าจะถูกลบเพื่อหลีกทางให้กับรายการใหม่
- เก็บบันทึกเมื่อเต็ม ไม่เขียนทับเหตุการณ์ – หากคุณเลือกตัวเลือกนี้ Windows จะบันทึกบันทึกโดยอัตโนมัติเมื่อถึงขนาดบันทึกสูงสุดแล้วสร้างใหม่ บันทึกจะถูกเก็บถาวรทุกที่ที่มีการจัดเก็บบันทึกความปลอดภัย โดยค่าเริ่มต้น จะอยู่ที่ตำแหน่งต่อไปนี้ %SystemRoot%\SYSTEM32\WINEVT\LOGS . คุณสามารถดูคุณสมบัติของตัวแสดงเหตุการณ์การเข้าสู่ระบบเพื่อระบุตำแหน่งที่แน่นอน
- อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) – หากคุณเลือกตัวเลือกนี้และบันทึกเหตุการณ์ถึงขนาดสูงสุด จะไม่มีการเขียนเหตุการณ์เพิ่มเติมจนกว่าจะล้างบันทึกด้วยตนเอง
หากต้องการตรวจสอบหรือแก้ไขการตั้งค่าบันทึกเหตุการณ์ด้านความปลอดภัย สิ่งแรกที่คุณอาจต้องการเปลี่ยนแปลงคือ ขนาดบันทึกสูงสุด (KB) – ขนาดไฟล์บันทึกสูงสุดคือ 20 MB (20480 KB) นอกเหนือจากนั้น ให้ตัดสินใจเกี่ยวกับนโยบายการเก็บรักษาของคุณตามที่ระบุไว้ข้างต้น
บันทึกความปลอดภัยเต็มแล้ว (รหัสเหตุการณ์ 1104)
เมื่อถึงขีดจำกัดสูงสุดของขนาดไฟล์ Security Log Event และไม่มีที่ว่างสำหรับบันทึกเหตุการณ์เพิ่มเติม รหัสเหตุการณ์ 1104: บันทึกความปลอดภัยเต็มแล้ว จะถูกบันทึกโดยระบุว่าไฟล์บันทึกเต็ม และคุณต้องดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้ทันที
วิธีเปลี่ยนจากการเชื่อมต่อแบบไร้สายเป็นแบบใช้สาย windows 10
- เปิดใช้งานการเขียนทับบันทึกใน Event Viewer
- เก็บแฟ้มบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows
- ล้างบันทึกความปลอดภัยด้วยตนเอง
เรามาดูรายละเอียดการดำเนินการที่แนะนำเหล่านี้กัน
1] เปิดใช้งานการเขียนทับบันทึกใน Event Viewer
ตามค่าเริ่มต้น บันทึกความปลอดภัยได้รับการกำหนดค่าให้เขียนทับเหตุการณ์ตามความจำเป็น เมื่อคุณเปิดตัวเลือกการเขียนทับบันทึก จะทำให้ Event Viewer สามารถเขียนทับบันทึกเก่าได้ ซึ่งจะช่วยประหยัดหน่วยความจำไม่ให้เต็ม ดังนั้น คุณต้องตรวจสอบให้แน่ใจว่าเปิดใช้งานตัวเลือกนี้โดยทำตามขั้นตอนเหล่านี้:
- กด ปุ่ม Windows + R เพื่อเรียกใช้ไดอะล็อก Run
- ในกล่องโต้ตอบ เรียกใช้ พิมพ์ เหตุการณ์ และกด Enter เพื่อเปิดตัวแสดงเหตุการณ์
- ขยาย บันทึกของ Windows .
- คลิก ความปลอดภัย .
- ในบานหน้าต่างด้านขวา ภายใต้ การกระทำ เมนู เลือก คุณสมบัติ . หรือคลิกขวาที่ บันทึกความปลอดภัย ในบานหน้าต่างนำทางด้านซ้าย แล้วเลือก คุณสมบัติ .
- ตอนนี้ภายใต้ เมื่อถึงขนาดบันทึกเหตุการณ์สูงสุด ส่วน เลือกปุ่มตัวเลือกสำหรับ เขียนทับเหตุการณ์ตามต้องการ (เหตุการณ์ที่เก่าที่สุดก่อน) ตัวเลือก.
- คลิก นำมาใช้ > ตกลง .
อ่าน : วิธีดูบันทึกเหตุการณ์ใน Windows โดยละเอียด
2] เก็บบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows
ในสภาพแวดล้อมที่คำนึงถึงความปลอดภัย (โดยเฉพาะในองค์กร/องค์กร) อาจจำเป็นหรือได้รับคำสั่งให้เก็บบันทึกเหตุการณ์การรักษาความปลอดภัยของ Windows สามารถทำได้ผ่าน Event Viewer ดังที่แสดงด้านบนโดยเลือก เก็บบันทึกเมื่อเต็ม ไม่เขียนทับเหตุการณ์ ตัวเลือกหรือโดย การสร้างและเรียกใช้สคริปต์ PowerShell โดยใช้รหัสด้านล่าง สคริปต์ PowerShell จะตรวจสอบขนาดของบันทึกเหตุการณ์ความปลอดภัยและเก็บถาวรหากจำเป็น ขั้นตอนดำเนินการโดยสคริปต์มีดังนี้:
- หากบันทึกเหตุการณ์ด้านความปลอดภัยมีขนาดต่ำกว่า 250 MB เหตุการณ์ที่ให้ข้อมูลจะถูกเขียนลงในบันทึกเหตุการณ์ของแอปพลิเคชัน
- หากบันทึกมีขนาดเกิน 250 MB
- บันทึกถูกเก็บถาวรไว้ที่ D:\Logs\OS
- หากการดำเนินการเก็บถาวรล้มเหลว เหตุการณ์ข้อผิดพลาดจะถูกเขียนไปยังบันทึกเหตุการณ์ของแอปพลิเคชันและอีเมลจะถูกส่งไป
- หากการดำเนินการเก็บถาวรสำเร็จ เหตุการณ์ที่ให้ข้อมูลจะถูกเขียนลงในบันทึกเหตุการณ์ของแอปพลิเคชันและอีเมลจะถูกส่ง
ก่อนใช้สคริปต์ในสภาพแวดล้อมของคุณ ให้กำหนดคอนฟิกตัวแปรต่อไปนี้:
- $ArchiveSize – ตั้งค่าขีดจำกัดขนาดบันทึกที่ต้องการ (MB)
- $ArchiveFolder – ตั้งค่าเป็นเส้นทางที่มีอยู่ซึ่งคุณต้องการให้เก็บไฟล์บันทึกไป
- $mailMsgServer – ตั้งค่าเป็นเซิร์ฟเวอร์ SMTP ที่ถูกต้อง
- $mailMsgFrom – ตั้งค่าเป็นที่อยู่อีเมล FROM ที่ถูกต้อง
- $MailMsgTo – ตั้งค่าเป็นที่อยู่อีเมล TO ที่ถูกต้อง
# Set the archive location $ArchiveFolder = "D:\Logs\OS" # How big can the security event log get in MB before we automatically archive? $ArchiveSize = 250 # Verify the archive folder exists If (!(Test-Path $ArchiveFolder)) { Write-Host Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red Exit } # Configure environment $sysName = $env:computername $eventName = "Security Event Log Monitoring" $mailMsgServer = "your.smtp.server.name" $mailMsgSubject = "$sysName Security Event Log Monitoring" $mailMsgFrom = "[email protected]" $mailMsgTo = "[email protected]" # Add event source to application log if necessary If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { New-EventLog -LogName Application -Source $eventName } # Check the security log $Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'" $SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2) $SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2) Write-Host # Archive the security log if over the limit If ($SizeCurrentMB -gt $ArchiveSize) { $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt" $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB." $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue If ($Results -eq 0) { # Successful backup of security event log $Results = ($Log.ClearEventlog()).ReturnValue $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } Else { $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!" Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } } Else { # Write an informational event to the application event log $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 } # Close the log $Log.Dispose()
อ่าน : วิธีกำหนดเวลาสคริปต์ PowerShell ใน Task Scheduler
หากต้องการ คุณสามารถใช้ไฟล์ XML เพื่อตั้งค่าสคริปต์ให้ทำงานทุกชั่วโมง สำหรับสิ่งนี้ ให้บันทึกโค้ดต่อไปนี้ลงในไฟล์ XML จากนั้น นำเข้าสู่ Task Scheduler . ตรวจสอบให้แน่ใจว่าได้เปลี่ยน <อาร์กิวเมนต์> ส่วนชื่อโฟลเดอร์/ไฟล์ที่คุณบันทึกสคริปต์
<?xml version="1.0" encoding="UTF-16"?> <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2017-01-18T16:41:30.9576112</Date> <Description>Monitor security event log. Archive and clear log if threshold is met.</Description> </RegistrationInfo> <Triggers> <CalendarTrigger> <Repetition> <Interval>PT2H</Interval> <StopAtDurationEnd>false</StopAtDurationEnd> </Repetition> <StartBoundary>2017-01-18T00:00:00</StartBoundary> <ExecutionTimeLimit>PT30M</ExecutionTimeLimit> <Enabled>true</Enabled> <ScheduleByDay> <DaysInterval>1</DaysInterval> </ScheduleByDay> </CalendarTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>S-1-5-18</UserId> <RunLevel>HighestAvailable</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>true</AllowHardTerminate> <StartWhenAvailable>false</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession> <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>P3D</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command> <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments> </Exec> </Actions> </Task>
อ่าน: XML ของงานมีค่าที่เชื่อมต่อไม่ถูกต้องหรืออยู่นอกช่วง
เมื่อคุณเปิดใช้งานหรือกำหนดค่าการเก็บถาวรบันทึกแล้ว บันทึกที่เก่าที่สุดจะถูกบันทึก และจะไม่ถูกเขียนทับด้วยบันทึกที่ใหม่กว่า ตั้งแต่นี้เป็นต้นไป Windows จะเก็บบันทึกเมื่อถึงขนาดบันทึกสูงสุด และบันทึกลงในไดเร็กทอรี (หากไม่ใช่ค่าเริ่มต้น) ที่คุณระบุไว้ ไฟล์ที่เก็บถาวรจะถูกตั้งชื่อใน เอกสารเก่า-<ส่วน>-<วันที่/เวลา> รูปแบบ เช่น เอกสารเก่า-ความปลอดภัย-2023-02-14-18-05-34 . ตอนนี้สามารถใช้ไฟล์ที่เก็บถาวรเพื่อติดตามเหตุการณ์ที่เก่ากว่าได้
อ่าน : อ่านบันทึกเหตุการณ์ของ Windows Defender โดยใช้ WinDefLogView
3] ล้างบันทึกความปลอดภัยด้วยตนเอง
หากคุณได้ตั้งค่านโยบายการเก็บรักษาเป็น อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) คุณจะต้อง ล้างบันทึกความปลอดภัยด้วยตนเอง โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้
- ผู้ชมเหตุการณ์
- โปรแกรมอรรถประโยชน์ WEVTUTIL.exe
- ไฟล์ชุด
แค่นั้นแหละ!
ตอนนี้อ่าน : เหตุการณ์ที่ขาดหายไปในบันทึกเหตุการณ์
รหัสเหตุการณ์ใดที่ตรวจพบมัลแวร์
รหัสบันทึกเหตุการณ์ความปลอดภัยของ Windows 4688 บ่งชี้ว่าตรวจพบมัลแวร์ในระบบ ตัวอย่างเช่น หากมีมัลแวร์อยู่ในระบบ Windows ของคุณ เหตุการณ์การค้นหา 4688 จะเปิดเผยกระบวนการใดๆ ที่ดำเนินการโดยโปรแกรมที่ไม่ประสงค์ดีนั้น ด้วยข้อมูลดังกล่าว คุณสามารถทำการสแกนอย่างรวดเร็ว กำหนดการสแกน Windows Defender , หรือ เรียกใช้การสแกน Defender แบบออฟไลน์ .
รหัสความปลอดภัยสำหรับกิจกรรมการเข้าสู่ระบบคืออะไร
ใน Event Viewer, the รหัสเหตุการณ์ 4624 จะถูกบันทึกในทุกความพยายามที่สำเร็จในการเข้าสู่ระบบเครื่องคอมพิวเตอร์ เหตุการณ์นี้ถูกสร้างขึ้นบนคอมพิวเตอร์ที่มีการเข้าถึง หรือกล่าวอีกนัยหนึ่งว่าเซสชันการเข้าสู่ระบบถูกสร้างขึ้น เหตุการณ์ ประเภทการเข้าสู่ระบบ 11: CachedInteractive ระบุว่าผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ด้วยข้อมูลรับรองเครือข่ายที่จัดเก็บไว้ในเครื่องคอมพิวเตอร์ ตัวควบคุมโดเมนไม่ได้รับการติดต่อเพื่อตรวจสอบข้อมูลประจำตัว
อ่าน : Windows Event Log Service ไม่เริ่มทำงานหรือไม่พร้อมใช้งาน .