सुरक्षा लॉग अब भरा हुआ है (इवेंट आईडी 1104)

इवेंट व्यूअर में, लॉग की गई त्रुटियाँ सामान्य हैं, और आपको अलग-अलग ईवेंट आईडी वाली विभिन्न त्रुटियाँ मिलेंगी। सुरक्षा लॉग में दर्ज होने वाली घटनाएं आमतौर पर या तो कीवर्ड होंगी ऑडिट सफलता या ऑडिट विफलता . इस पोस्ट में हम चर्चा करेंगे सुरक्षा लॉग अब भरा हुआ है (इवेंट आईडी 1104) इस घटना को क्यों ट्रिगर किया गया है और इस स्थिति में आप क्लाइंट या सर्वर मशीन पर क्या कार्य कर सकते हैं, सहित।

जैसा कि घटना विवरण इंगित करता है, यह घटना हर बार उत्पन्न होती है जब विंडोज सुरक्षा लॉग भर जाता है। उदाहरण के लिए, यदि सुरक्षा इवेंट लॉग फ़ाइल का अधिकतम आकार पहुँच गया था और इवेंट लॉग अवधारण विधि है घटनाओं को अधिलेखित न करें (मैन्युअल रूप से लॉग साफ़ करें) जैसा इसमें बताया गया है माइक्रोसॉफ्ट दस्तावेज . सुरक्षा इवेंट लॉग सेटिंग्स में निम्नलिखित विकल्प हैं:

• आवश्यकतानुसार ईवेंट को अधिलेखित करें (सबसे पुराने ईवेंट पहले) - यह डिफ़ॉल्ट सेटिंग है। एक बार अधिकतम लॉग आकार तक पहुँच जाने के बाद, नए आइटम के लिए रास्ता बनाने के लिए पुराने आइटम हटा दिए जाएँगे।
• पूर्ण होने पर लॉग को संग्रहीत करें, ईवेंट को अधिलेखित न करें - यदि आप इस विकल्प का चयन करते हैं, तो अधिकतम लॉग आकार तक पहुँचने पर Windows स्वचालित रूप से लॉग को सहेज लेगा और एक नया लॉग बना देगा। जहाँ भी सुरक्षा लॉग संग्रहीत किया जा रहा है, वहाँ लॉग संग्रहीत किया जाएगा। डिफ़ॉल्ट रूप से, यह निम्न स्थान पर होगा %SystemRoot%\SYSTEM32\WINEVT\LOGS . सटीक स्थान निर्धारित करने के लिए आप लॉग-इन इवेंट व्यूअर के गुण देख सकते हैं।
• घटनाओं को अधिलेखित न करें (मैन्युअल रूप से लॉग साफ़ करें) - यदि आप इस विकल्प का चयन करते हैं और इवेंट लॉग अधिकतम आकार तक पहुँच जाता है, तो आगे कोई ईवेंट तब तक नहीं लिखा जाएगा जब तक कि लॉग मैन्युअल रूप से साफ़ नहीं हो जाता।

अपनी सुरक्षा इवेंट लॉग सेटिंग्स की जाँच करने या संशोधित करने के लिए, पहली चीज़ जिसे आप बदलना चाहेंगे, वह होगी अधिकतम लॉग आकार (केबी) – अधिकतम लॉग फ़ाइल का आकार 20 एमबी (20480 केबी) है। इसके अलावा, ऊपर उल्लिखित के अनुसार अपनी प्रतिधारण नीति तय करें।

सुरक्षा लॉग अब भरा हुआ है (इवेंट आईडी 1104)

जब सुरक्षा लॉग ईवेंट फ़ाइल आकार की ऊपरी सीमा प्राप्त हो जाती है, और अधिक ईवेंट लॉग करने के लिए कोई स्थान नहीं होता है, तो इवेंट आईडी 1104: सुरक्षा लॉग अब भरा हुआ है यह इंगित करते हुए लॉग किया जाएगा कि लॉग फ़ाइल भरी हुई है, और आपको निम्न में से कोई भी तत्काल कार्रवाई करने की आवश्यकता है।

1. इवेंट व्यूअर में लॉग ओवरराइटिंग सक्षम करें
2. Windows सुरक्षा ईवेंट लॉग को संग्रहीत करें
3. सुरक्षा लॉग को मैन्युअल रूप से साफ़ करें

आइए इन अनुशंसित कार्यों को विस्तार से देखें।

1] इवेंट व्यूअर में लॉग ओवरराइटिंग सक्षम करें

डिफ़ॉल्ट रूप से, सुरक्षा लॉग को आवश्यकतानुसार ईवेंट अधिलेखित करने के लिए कॉन्फ़िगर किया गया है। जब आप ओवरराइटिंग लॉग विकल्प को चालू करते हैं, तो यह इवेंट व्यूअर को पुराने लॉग को अधिलेखित करने की अनुमति देगा, बदले में स्मृति को पूर्ण होने से बचाएगा। इसलिए, आपको यह सुनिश्चित करने की आवश्यकता है कि इन चरणों का पालन करके यह विकल्प सक्षम है:

• दबाओ विंडोज की + आर रन संवाद का आह्वान करने के लिए।
• चलाएँ संवाद बॉक्स में, टाइप करें vr और इवेंट व्यूअर खोलने के लिए एंटर दबाएं।
• बढ़ाना विंडोज लॉग्स .
• क्लिक सुरक्षा .
• दाएँ फलक पर, के अंतर्गत कार्रवाई मेनू, चयन करें गुण . वैकल्पिक रूप से, पर राइट-क्लिक करें सुरक्षा लॉग बाएं नेविगेशन फलक पर और चयन करें गुण .
• अब, के तहत जब अधिकतम इवेंट लॉग आकार तक पहुँच जाता है अनुभाग, के लिए रेडियो बटन का चयन करें आवश्यकतानुसार ईवेंट को अधिलेखित करें (सबसे पुराने ईवेंट पहले) विकल्प।
• क्लिक आवेदन करना > ठीक .

पढ़ना : विंडोज़ में इवेंट लॉग्स को विस्तार से कैसे देखें

2] विंडोज सुरक्षा इवेंट लॉग को संग्रहित करें

एक सुरक्षा-जागरूक वातावरण में (विशेष रूप से एक उद्यम/संगठन में), विंडोज सुरक्षा इवेंट लॉग को संग्रहीत करना आवश्यक या अनिवार्य हो सकता है। जैसा कि ऊपर दिखाया गया है, इसे चुनकर इवेंट व्यूअर के माध्यम से किया जा सकता है पूर्ण होने पर लॉग को संग्रहीत करें, ईवेंट को अधिलेखित न करें विकल्प, या द्वारा PowerShell स्क्रिप्ट बनाना और चलाना नीचे दिए गए कोड का उपयोग करना। PowerShell स्क्रिप्ट सुरक्षा ईवेंट लॉग के आकार की जाँच करेगी और यदि आवश्यक हो तो इसे संग्रहीत करेगी। स्क्रिप्ट द्वारा किए गए चरण इस प्रकार हैं:

• यदि सुरक्षा इवेंट लॉग 250 एमबी से कम है, तो एप्लिकेशन इवेंट लॉग में एक सूचनात्मक घटना लिखी जाती है
• यदि लॉग 250 एमबी से अधिक है
  • लॉग को D:\Logs\OS में संग्रहीत किया जाता है।
  • यदि संग्रह कार्रवाई विफल हो जाती है, तो एप्लिकेशन इवेंट लॉग में एक त्रुटि घटना लिखी जाती है और एक ई-मेल भेजा जाता है।
  • यदि आर्काइव ऑपरेशन सफल होता है, तो एप्लिकेशन इवेंट लॉग में एक सूचनात्मक घटना लिखी जाती है और एक ई-मेल भेजा जाता है।

अपने वातावरण में स्क्रिप्ट का उपयोग करने से पहले, निम्नलिखित चरों को कॉन्फ़िगर करें:

• $ArchiveSize - इच्छित लॉग आकार सीमा (MB) पर सेट करें
• $ArchiveFolder - मौजूदा पथ पर सेट करें जहां आप चाहते हैं कि लॉग फ़ाइल संग्रह जाए
• $mailMsgServer – वैध SMTP सर्वर पर सेट करें
• $mailMsgFrom - एक वैध FROM ई-मेल पते पर सेट करें
• $MailMsgTo - एक मान्य TO ई-मेल पते पर सेट करें

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

पढ़ना : टास्क शेड्यूलर में पावरशेल स्क्रिप्ट को कैसे शेड्यूल करें

यदि आप चाहें, तो स्क्रिप्ट को हर घंटे चलाने के लिए सेट करने के लिए आप XML फ़ाइल का उपयोग कर सकते हैं। इसके लिए निम्न कोड को एक XML फ़ाइल में सहेजें और फिर इसे टास्क शेड्यूलर में आयात करें . को बदलना सुनिश्चित करें <तर्क> उस फ़ोल्डर/फ़ाइल नाम का अनुभाग जहां आपने स्क्रिप्ट सहेजी थी।

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

पढ़ना: टास्क एक्सएमएल में एक मान है जो गलत तरीके से जुड़ा हुआ है या सीमा से बाहर है

एक बार जब आप लॉग को संग्रहित करने में सक्षम या कॉन्फ़िगर कर लेते हैं, तो सबसे पुराने लॉग सहेज लिए जाएंगे और नए लॉग के साथ ओवरराइट नहीं किए जाएंगे। तो अब से, जब अधिकतम लॉग आकार तक पहुँच जाता है तो विंडोज़ लॉग को संग्रहीत करेगा और इसे आपके द्वारा निर्दिष्ट निर्देशिका (यदि डिफ़ॉल्ट नहीं है) में सहेजेगा। संग्रहीत फ़ाइल में नामित किया जाएगा पुरालेख-<अनुभाग>-<दिनांक/समय> प्रारूप, उदाहरण के लिए, पुरालेख-सुरक्षा-2023-02-14-18-05-34 . संग्रहीत फ़ाइल का उपयोग अब पुरानी घटनाओं का पता लगाने के लिए किया जा सकता है।

पढ़ना : WinDefLogView का उपयोग करके विंडोज डिफेंडर इवेंट लॉग पढ़ें

3] सुरक्षा लॉग को मैन्युअल रूप से साफ़ करें

यदि आपने अवधारण नीति को सेट किया है घटनाओं को अधिलेखित न करें (मैन्युअल रूप से लॉग साफ़ करें) , आपको की आवश्यकता होगी सुरक्षा लॉग को मैन्युअल रूप से साफ़ करें निम्न विधियों में से किसी का उपयोग करना।

• घटना दर्शी
• WEVTUTIL.exe उपयोगिता
• बैच फ़ाइल

इतना ही!

खरीद की अनुमति देने के लिए Xbox एक पर सेटिंग्स कैसे बदलें

अब पढ़ो : इवेंट लॉग में गुम इवेंट

मालवेयर किस इवेंट आईडी का पता चला है?

विंडोज सुरक्षा इवेंट लॉग आईडी 4688 इंगित करता है कि सिस्टम पर मैलवेयर का पता चला है। उदाहरण के लिए, यदि आपके विंडोज सिस्टम पर मैलवेयर मौजूद है, तो ईवेंट 4688 खोजने से उस दुर्भावनापूर्ण प्रोग्राम द्वारा निष्पादित किसी भी प्रक्रिया का पता चल जाएगा। उस जानकारी के साथ, आप त्वरित स्कैन कर सकते हैं, एक विंडोज डिफेंडर स्कैन शेड्यूल करें , या डिफेंडर ऑफलाइन स्कैन चलाएं .

लॉगऑन घटना के लिए सुरक्षा आईडी क्या है?

इवेंट व्यूअर में, इवेंट आईडी 4624 स्थानीय कंप्यूटर पर लॉग ऑन करने के हर सफल प्रयास पर लॉग इन किया जाएगा। यह घटना उस कंप्यूटर पर उत्पन्न होती है जिसे एक्सेस किया गया था, दूसरे शब्दों में, जहाँ लॉगऑन सत्र बनाया गया था। समारोह लॉगऑन टाइप 11: कैश्डइंटरएक्टिव कंप्यूटर पर स्थानीय रूप से संग्रहीत नेटवर्क क्रेडेंशियल्स वाले कंप्यूटर पर लॉग ऑन किए गए उपयोगकर्ता को इंगित करता है। क्रेडेंशियल सत्यापित करने के लिए डोमेन नियंत्रक से संपर्क नहीं किया गया था।

पढ़ना : Windows इवेंट लॉग सेवा प्रारंभ नहीं हो रही है या अनुपलब्ध है .