Сигурносни дневник је сада пун (ИД догађаја 1104)

У Евент Виевер-у, евидентиране грешке су уобичајене и наићи ћете на различите грешке са различитим ИД-овима догађаја. Догађаји који су забележени у безбедносним евиденцијама обично ће бити било која од кључних речи Успех ревизије или неуспех ревизије . У овом посту ћемо разговарати Сигурносни дневник је сада пун (ИД догађаја 1104) укључујући зашто се овај догађај покреће и радње које можете да извршите у овој ситуацији било на клијентској или серверској машини.

Као што опис догађаја показује, овај догађај се генерише сваки пут када се Виндовс безбедносни дневник попуни. На пример, ако је достигнута максимална величина датотеке евиденције безбедносних догађаја и начин задржавања евиденције догађаја јесте Немојте заменити догађаје (ручно обришите евиденцију) како је описано у овоме Мицрософт документација . Следеће су опције у подешавањима евиденције безбедносних догађаја:

• Замените догађаје по потреби (прво најстарији догађаји) – Ово је подразумевана поставка. Када се достигне максимална величина дневника, старије ставке ће бити избрисане како би се направило место за нове ставке.
• Архивирајте дневник када је пун, немојте преписивати догађаје – Ако изаберете ову опцију, Виндовс ће аутоматски сачувати евиденцију када се достигне максимална величина евиденције и креирати нову. Дневник ће бити архивиран где год се чува безбедносни дневник. Подразумевано, ово ће бити на следећој локацији %СистемРоот%\СИСТЕМ32\ВИНЕВТ\ЛОГС . Можете да видите својства прегледача догађаја за пријављивање да бисте утврдили тачну локацију.
• Немојте заменити догађаје (ручно обришите евиденцију) – Ако изаберете ову опцију и евиденција догађаја достигне максималну величину, неће бити уписани никакви даљи догађаји док се дневник не обрише ручно.

Да бисте проверили или изменили подешавања евиденције безбедносних догађаја, прва ствар коју бисте можда желели да промените била би Максимална величина евиденције (КБ) – максимална величина датотеке евиденције је 20 МБ (20480 КБ). Осим тога, одлучите о својој политици задржавања као што је горе наведено.

Сигурносни дневник је сада пун (ИД догађаја 1104)

Када се достигне горња граница величине датотеке безбедносног дневника догађаја и нема места за евидентирање више догађаја, ИД догађаја 1104: Сигурносни дневник је сада пун ће се евидентирати што показује да је датотека евиденције пуна и да морате да извршите било коју од следећих тренутних радњи.

1. Омогућите преписивање дневника у прегледнику догађаја
2. Архивирајте дневник безбедносних догађаја за Виндовс
3. Ручно обришите безбедносни дневник

Погледајмо ове препоручене радње детаљно.

1] Омогућите преписивање дневника у прегледнику догађаја

Подразумевано, безбедносни дневник је конфигурисан да преписује догађаје по потреби. Када укључите опцију преписивања дневника, ово ће омогућити прегледнику догађаја да препише старе евиденције, чиме се чува меморија од пуњења. Дакле, морате да се уверите да је ова опција омогућена пратећи ове кораке:

екран лозинке

• притисните Виндовс тастер + Р да бисте позвали дијалог Покрени.
• У дијалогу Покрени откуцајте евентввр и притисните Ентер да отворите Евент Виевер.
• Проширити Виндовс евиденције .
• Кликните Безбедност .
• На десном окну, испод Акције мени, изаберите Својства . Алтернативно, кликните десним тастером миша на Сигурносни дневник у левом окну за навигацију и изаберите Својства .
• Сада, испод Када се достигне максимална величина евиденције догађаја одељак, изаберите радио дугме за Замените догађаје по потреби (прво најстарији догађаји) опција.
• Кликните Применити > У реду .

читати : Како детаљно прегледати дневнике догађаја у Виндовс-у

2] Архивирајте дневник безбедносних догађаја за Виндовс

У окружењу које води рачуна о безбедности (нарочито у предузећу/организацији), можда ће бити неопходно или обавезно архивирање Виндовс евиденције безбедносних догађаја. Ово се може урадити преко Евент Виевер-а као што је приказано изнад тако што ћете изабрати Архивирајте дневник када је пун, немојте преписивати догађаје опцију, или по креирање и покретање ПоверСхелл скрипте користећи код испод. ПоверСхелл скрипта ће проверити величину дневника безбедносних догађаја и архивирати га ако је потребно. Кораци које извршава скрипта су следећи:

• Ако је евиденција безбедносних догађаја мања од 250 МБ, информативни догађај се уписује у дневник догађаја апликације
• Ако је дневник већи од 250 МБ
  • Дневник се архивира у Д:\Логс\ОС.
  • Ако операција архивирања не успе, догађај грешке се уписује у дневник догађаја апликације и шаље се е-маил.
  • Ако операција архивирања успе, информативни догађај се уписује у дневник догађаја апликације и шаље се е-маил.

Пре употребе скрипте у свом окружењу, конфигуришите следеће променљиве:

• $АрцхивеСизе – Поставите на жељено ограничење величине дневника (МБ)
• $АрцхивеФолдер – Подесите постојећу путању на коју желите да иде архива датотеке евиденције
• $маилМсгСервер – Поставите на важећи СМТП сервер
• $маилМсгФром – Поставите на важећу адресу е-поште ФРОМ
• $МаилМсгТо – Поставите на важећу адресу е-поште ТО

читати : Како заказати ПоверСхелл скрипту у Планеру задатака

Ако желите, можете користити КСМЛ датотеку да подесите скрипту да се покреће сваких сат времена. За ово, сачувајте следећи код у КСМЛ датотеку, а затим увезите га у Планер задатака . Обавезно промените <Аргументи> одељак до имена фасцикле/датотеке где сте сачували скрипту.

Читати: КСМЛ задатака садржи вредност која је погрешно повезана или је ван опсега

флесцх кинцаид ворд 2013

Када омогућите или конфигуришете архивирање дневника, најстарији дневники ће бити сачувани и неће бити замењени новијим евиденцијама. Дакле, сада надаље, Виндовс ће архивирати дневник када се достигне максимална величина дневника и сачувати га у директоријум (ако није подразумевани) који сте навели. Архивирана датотека ће бити именована у Архива-<Секција>-<Датум/Време> формат, на пример, Архива-Безбедност-2023-02-14-18-05-34 . Архивирана датотека се сада може користити за праћење старијих догађаја.

читати : Прочитајте евиденцију догађаја Виндовс Дефендер-а користећи ВинДефЛогВиев

3] Ручно обришите сигурносни дневник

Ако сте поставили политику задржавања на Немојте заменити догађаје (ручно обришите евиденцију) , мораћете ручно обришите безбедносни дневник користећи било који од следећих метода.

• Евент Виевер
• ВЕВТУТИЛ.еке услужни програм
• Батцх фајл

То је то!

Сада прочитајте : Догађаји који недостају у евиденцији догађаја

Који ИД догађаја је откривен малвер?

ИД евиденције Виндовс безбедносних догађаја 4688 указује да је у систему откривен малвер. На пример, ако је на вашем Виндовс систему присутан малвер, претрага догађаја 4688 ће открити све процесе које је извршио тај злонамерни програм. Са тим информацијама можете извршити брзо скенирање, закажите скенирање Виндовс Дефендер-а , или покрените Дефендер ван мреже скенирање .

Који је безбедносни ИД за догађај пријављивања?

У прегледнику догађаја, ИД догађаја 4624 биће пријављен при сваком успешном покушају пријављивања на локални рачунар. Овај догађај се генерише на рачунару коме се приступило, другим речима, где је креирана сесија за пријављивање. Догађај Тип пријаве 11: ЦацхедИнтерацтиве означава корисника који је пријављен на рачунар са мрежним акредитивима који су ускладиштени локално на рачунару. Контролор домена није контактиран ради верификације акредитива.

читати : Виндовс услуга евиденције догађаја се не покреће или је недоступна .