Säkerhetsloggen är nu full (Event ID 1104)

I Event Viewer är de fel som loggas vanliga, och du kommer att stöta på olika fel med olika händelse-ID. Händelserna som registreras i säkerhetsloggarna kommer vanligtvis att vara något av nyckelorden Revisionsframgång eller revisionsmisslyckande . I det här inlägget kommer vi att diskutera Säkerhetsloggen är nu full (Event ID 1104) inklusive varför denna händelse utlöses och de åtgärder du kan utföra i den här situationen oavsett om det är på en klient- eller serverdator.

Som händelsebeskrivningen indikerar genereras denna händelse varje gång Windows-säkerhetsloggen blir full. Till exempel, om den maximala storleken på säkerhetshändelseloggfilen nåddes och lagringsmetoden för händelselogg är Skriv inte över händelser (Rensa loggar manuellt) som beskrivs i detta Microsoft dokumentation . Följande är alternativen i inställningarna för säkerhetshändelseloggen:

• Skriv över händelser efter behov (äldsta händelser först) – Detta är standardinställningen. När den maximala loggstorleken har nåtts kommer äldre objekt att raderas för att ge plats åt nya objekt.
• Arkivera loggen när den är full, skriv inte över händelser – Om du väljer det här alternativet kommer Windows automatiskt att spara loggen när den maximala loggstorleken uppnås och skapa en ny. Loggen kommer att arkiveras varhelst säkerhetsloggen lagras. Som standard kommer detta att vara på följande plats %SystemRoot%\SYSTEM32\WINEVT\LOGS . Du kan se egenskaperna för inloggningshändelsevisaren för att fastställa den exakta platsen.
• Skriv inte över händelser (Rensa loggar manuellt) – Om du väljer det här alternativet och händelseloggen når maximal storlek, kommer inga fler händelser att skrivas förrän loggen rensas manuellt.

För att kontrollera eller ändra dina säkerhetshändelselogginställningar är det första du kanske vill ändra Maximal loggstorlek (KB) – den maximala loggfilstorleken är 20 MB (20480 KB). Utöver det, besluta om din lagringspolicy enligt ovan.

Säkerhetsloggen är nu full (Event ID 1104)

När den övre gränsen för filstorleken för säkerhetslogghändelser uppnås och det inte finns utrymme att logga fler händelser, Händelse-ID 1104: Säkerhetsloggen är nu full kommer att loggas vilket indikerar att loggfilen är full och du måste utföra någon av följande omedelbara åtgärder.

1. Aktivera loggöverskrivning i Event Viewer
2. Arkivera Windows säkerhetshändelselogg
3. Rensa säkerhetsloggen manuellt

Låt oss se dessa rekommenderade åtgärder i detalj.

1] Aktivera loggöverskrivning i Event Viewer

Som standard är säkerhetsloggen konfigurerad för att skriva över händelser efter behov. När du aktiverar alternativet för överskrivning av loggar kommer detta att tillåta händelsevisaren att skriva över de gamla loggarna, vilket i sin tur sparar minnet från att bli fullt. Så du måste se till att det här alternativet är aktiverat genom att följa dessa steg:

• tryck på Windows-tangent + R för att anropa dialogrutan Kör.
• I dialogrutan Kör skriver du eventvwr och tryck på Enter för att öppna Event Viewer.
• Bygga ut Windows-loggar .
• Klick säkerhet .
• På den högra rutan, under Handlingar menyn, välj Egenskaper . Alternativt, högerklicka på Säkerhetslogg i den vänstra navigeringsrutan och välj Egenskaper .
• Nu, under När maximal händelseloggstorlek har uppnåtts sektionen väljer du alternativknappen för Skriv över händelser efter behov (äldsta händelser först) alternativ.
• Klick Tillämpa > OK .

Läsa : Hur man visar händelseloggar i Windows i detalj

2] Arkivera Windows-säkerhetshändelseloggen

I en säkerhetsmedveten miljö (särskilt i ett företag/organisation) kan det vara nödvändigt eller mandat att arkivera Windows säkerhetshändelselogg. Detta kan göras via Event Viewer som visas ovan genom att välja Arkivera loggen när den är full, skriv inte över händelser alternativ, eller av skapa och köra ett PowerShell-skript med koden nedan. PowerShell-skriptet kontrollerar storleken på säkerhetshändelseloggen och arkiverar den vid behov. Stegen som utförs av skriptet är följande:

• Om säkerhetshändelseloggen är mindre än 250 MB skrivs en informationshändelse till programmets händelselogg
• Om loggen är över 250 MB
  • Loggen arkiveras till D:\Logs\OS.
  • Om arkiveringen misslyckas skrivs en felhändelse till applikationshändelseloggen och ett e-postmeddelande skickas.
  • Om arkiveringen lyckas skrivs en informationshändelse till applikationshändelseloggen och ett e-postmeddelande skickas.

Innan du använder skriptet i din miljö, konfigurera följande variabler:

• $ArchiveSize – Ställ in önskad loggstorleksgräns (MB)
• $ArchiveFolder – Ställ in en befintlig sökväg dit du vill att loggfilarkiven ska gå
• $mailMsgServer – Ställ in på en giltig SMTP-server
• $mailMsgFrom – Ställ in en giltig FROM-e-postadress
• $MailMsgTo – Ställ in en giltig TO-e-postadress

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Läsa : Hur man schemalägger PowerShell-skript i Task Scheduler

Om du vill kan du använda en XML-fil för att ställa in skriptet att köras varje timme. För detta, spara följande kod i en XML-fil och sedan importera den till Task Scheduler . Se till att ändra avsnittet till mappen/filnamnet där du sparade skriptet.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Läsa: Uppgifts-XML innehåller ett värde som är felaktigt anslutet eller utanför intervallet

När du har aktiverat eller konfigurerat arkivering av loggarna kommer de äldsta loggarna att sparas och kommer inte att skrivas över med nyare loggar. Så nu och framåt kommer Windows att arkivera loggen när den maximala loggstorleken har uppnåtts och spara den i den katalog (om inte standard) du har angett. Den arkiverade filen kommer att namnges i Arkiv-- format, till exempel, Arkiv-Säkerhet-2023-02-14-18-05-34 . Den arkiverade filen kan nu användas för att spåra äldre händelser.

Läsa : Läs Windows Defender Event Log med WinDefLogView

skärmen sträcks horisontellt windows 10

3] Rensa säkerhetsloggen manuellt

Om du har ställt in lagringspolicyn till Skriv inte över händelser (Rensa loggar manuellt) , du kommer behöva rensa säkerhetsloggen manuellt med någon av följande metoder.

• Loggboken
• WEVTUTIL.exe-verktyget
• Kommandofil

Det är allt!

Läs nu : Saknade händelser i händelseloggen

Vilket händelse-ID upptäcks skadlig programvara?

Windows säkerhetshändelselogg-ID 4688 indikerar att skadlig programvara har upptäckts på systemet. Till exempel, om det finns skadlig programvara på ditt Windows-system, kommer sökningshändelse 4688 att avslöja alla processer som exekveras av det illa menade programmet. Med den informationen kan du göra en snabbskanning, schemalägga en Windows Defender-skanning , eller kör en Defender Offline-skanning .

Vad är säkerhets-ID för inloggningshändelsen?

I Event Viewer, Händelse-ID 4624 kommer att loggas på varje framgångsrikt försök att logga in på en lokal dator. Denna händelse genereras på den dator som användes, med andra ord där inloggningssessionen skapades. Händelsen Inloggningstyp 11: CachedInteractive indikerar en användare som är inloggad på en dator med nätverksuppgifter som lagrats lokalt på datorn. Domänkontrollanten kontaktades inte för att verifiera autentiseringsuppgifterna.

Läsa : Windows Event Log Service startar inte eller är inte tillgänglig .