Nel Visualizzatore eventi, gli errori registrati sono comuni e incontrerai errori diversi con ID evento diversi. Gli eventi che vengono registrati nei registri di sicurezza di solito saranno una delle parole chiave Verifica riuscita o verifica non riuscita . In questo post, discuteremo Il registro di sicurezza è ora pieno (ID evento 1104) incluso il motivo per cui questo evento viene attivato e le azioni che puoi eseguire in questa situazione su un computer client o server.
Come indica la descrizione dell'evento, questo evento viene generato ogni volta che il registro di sicurezza di Windows si riempie. Ad esempio, se è stata raggiunta la dimensione massima del file del registro eventi di protezione e il metodo di conservazione del registro eventi è Non sovrascrivere gli eventi (Cancella i log manualmente) come descritto in questo Documentazione Microsoft . Di seguito sono riportate le opzioni nelle impostazioni del registro eventi di sicurezza:
- Sovrascrivi gli eventi secondo necessità (prima gli eventi più vecchi) - Questa è l'impostazione predefinita. Una volta raggiunta la dimensione massima del registro, gli elementi meno recenti verranno eliminati per far posto ai nuovi elementi.
- Archivia il registro quando è pieno, non sovrascrivere gli eventi – Se si seleziona questa opzione, Windows salverà automaticamente il registro quando viene raggiunta la dimensione massima del registro e ne creerà uno nuovo. Il registro verrà archiviato ovunque venga archiviato il registro di sicurezza. Per impostazione predefinita, questo sarà nella seguente posizione %SystemRoot%\SYSTEM32\WINEVT\LOGS . È possibile visualizzare le proprietà del Visualizzatore eventi di accesso per determinare la posizione esatta.
- Non sovrascrivere gli eventi (Cancella i log manualmente) – Se si seleziona questa opzione e il registro eventi raggiunge la dimensione massima, non verranno scritti ulteriori eventi finché il registro non viene cancellato manualmente.
Per controllare o modificare le impostazioni del registro eventi di sicurezza, la prima cosa che potresti voler cambiare sarebbe il file Dimensione massima registro (KB) – la dimensione massima del file di registro è di 20 MB (20480 KB). Oltre a ciò, decidi la tua politica di conservazione come descritto sopra.
Il registro di sicurezza è ora pieno (ID evento 1104)
Quando viene raggiunto il limite superiore della dimensione del file degli eventi del registro di sicurezza e non c'è spazio per registrare altri eventi, il file ID evento 1104: il registro di sicurezza è ora pieno verrà registrato indicando che il file di registro è pieno ed è necessario eseguire una delle seguenti azioni immediate.
- Abilita la sovrascrittura del registro nel Visualizzatore eventi
- Archivia il registro eventi di sicurezza di Windows
- Cancella manualmente il registro di sicurezza
Vediamo nel dettaglio queste azioni consigliate.
1] Abilita la sovrascrittura del registro nel Visualizzatore eventi
come disinstallare boxbe
Per impostazione predefinita, il registro di sicurezza è configurato per sovrascrivere gli eventi secondo necessità. Quando si attiva l'opzione di sovrascrittura dei registri, ciò consentirà al Visualizzatore eventi di sovrascrivere i vecchi registri, evitando a sua volta che la memoria si riempia. Quindi, devi assicurarti che questa opzione sia abilitata seguendo questi passaggi:
- premi il Tasto Windows + R per richiamare la finestra di dialogo Esegui.
- Nella finestra di dialogo Esegui, digitare eventvwr e premi Invio per aprire il Visualizzatore eventi.
- Espandere Registri di Windows .
- Clic Sicurezza .
- Nel riquadro di destra, sotto il Azioni menù, selezionare Proprietà . In alternativa, fare clic con il pulsante destro del mouse su Registro di sicurezza nel riquadro di navigazione a sinistra e seleziona Proprietà .
- Ora, sotto il Quando viene raggiunta la dimensione massima del registro eventi sezione, selezionare il pulsante di opzione per il Sovrascrivi gli eventi secondo necessità (prima gli eventi più vecchi) opzione.
- Clic Fare domanda a > OK .
Leggere : Come visualizzare i registri eventi in Windows in dettaglio
2] Archivia il registro eventi di sicurezza di Windows
In un ambiente attento alla sicurezza (soprattutto in un'azienda/organizzazione), potrebbe essere necessario o obbligatorio archiviare il registro eventi di sicurezza di Windows. Questo può essere fatto tramite il Visualizzatore eventi come mostrato sopra selezionando il Archivia il registro quando è pieno, non sovrascrivere gli eventi opzione, o da creazione ed esecuzione di uno script PowerShell utilizzando il codice qui sotto. Lo script di PowerShell controllerà le dimensioni del registro eventi di sicurezza e lo archivierà se necessario. I passaggi eseguiti dallo script sono i seguenti:
disattiva le notifiche del calendario Windows 10
- Se il registro eventi di protezione è inferiore a 250 MB, viene scritto un evento informativo nel registro eventi dell'applicazione
- Se il registro supera i 250 MB
- Il registro viene archiviato in D:\Logs\OS.
- Se l'operazione di archiviazione non riesce, viene scritto un evento di errore nel registro eventi dell'applicazione e viene inviata un'e-mail.
- Se l'operazione di archiviazione ha esito positivo, viene scritto un evento informativo nel registro eventi dell'applicazione e viene inviata un'e-mail.
Prima di utilizzare lo script nel proprio ambiente, configurare le seguenti variabili:
- $ArchiveSize: imposta il limite di dimensione del registro desiderato (MB)
- $ArchiveFolder: impostare su un percorso esistente in cui si desidera inserire gli archivi dei file di registro
- $mailMsgServer – Impostato su un server SMTP valido
- $mailMsgFrom: impostato su un indirizzo e-mail FROM valido
- $MailMsgTo: impostare su un indirizzo e-mail TO valido
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()Leggere : Come pianificare lo script PowerShell nell'Utilità di pianificazione
Se lo desideri, puoi utilizzare un file XML per impostare lo script in modo che venga eseguito ogni ora. Per questo, salva il seguente codice in un file XML e poi importarlo nell'Utilità di pianificazione . Assicurati di cambiare il file
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>Leggere: L'XML dell'attività contiene un valore collegato in modo errato o fuori intervallo
Una volta abilitata o configurata l'archiviazione dei registri, i registri più vecchi verranno salvati e non verranno sovrascritti con i registri più recenti. Quindi ora in poi, Windows archivierà il registro quando viene raggiunta la dimensione massima del registro e lo salverà nella directory (se non quella predefinita) che hai specificato. Il file archiviato verrà denominato in Archivio-
ispezionare i trucchi degli elementi
Leggere : Leggi il registro eventi di Windows Defender utilizzando WinDefLogView
3] Cancella manualmente il registro di sicurezza
Se hai impostato il criterio di conservazione su Non sovrascrivere gli eventi (Cancella i log manualmente) , avrai bisogno di cancellare manualmente il registro di sicurezza utilizzando uno dei seguenti metodi.
- Visualizzatore eventi
- Utilità WEVTUTIL.exe
- Fascicolo batch
Questo è tutto!
Ora leggi : Eventi mancanti nel registro eventi
Quale ID evento viene rilevato dal malware?
L'ID registro eventi di sicurezza di Windows 4688 indica che è stato rilevato malware nel sistema. Ad esempio, se sul tuo sistema Windows è presente malware, la ricerca dell'evento 4688 rivelerà tutti i processi eseguiti da quel programma malintenzionato. Con queste informazioni, puoi eseguire una scansione rapida, pianificare una scansione di Windows Defender , O esegui una scansione offline di Defender .
Qual è l'ID di sicurezza per l'evento di accesso?
Nel Visualizzatore eventi, il ID evento 4624 verrà eseguito l'accesso a ogni tentativo riuscito di accesso a un computer locale. Questo evento viene generato sul computer a cui è stato effettuato l'accesso, ovvero dove è stata creata la sessione di accesso. L'evento Tipo di accesso 11: CachedInteractive indica un utente connesso a un computer con credenziali di rete archiviate localmente nel computer. Il controller di dominio non è stato contattato per verificare le credenziali.
Leggere : Il servizio registro eventi di Windows non si avvia o non è disponibile .
