Log keamanan sekarang penuh (ID Peristiwa 1104)

Log Keamanan Sekarang Penuh Id Peristiwa 1104



Di Peraga Peristiwa, kesalahan yang dicatat adalah umum, dan Anda akan menemukan kesalahan yang berbeda dengan ID Peristiwa yang berbeda. Peristiwa yang dicatat dalam log keamanan biasanya akan menjadi salah satu kata kunci Keberhasilan Audit atau Kegagalan Audit . Pada postingan kali ini kita akan membahas Log keamanan sekarang penuh (ID Peristiwa 1104) termasuk mengapa kejadian ini dipicu dan tindakan yang dapat Anda lakukan dalam situasi ini baik di mesin klien atau server.



Log keamanan sekarang penuh (ID Peristiwa 1104)



Seperti yang ditunjukkan oleh deskripsi kejadian, kejadian ini dihasilkan setiap kali log keamanan Windows menjadi penuh. Misalnya, jika ukuran maksimum file Log Peristiwa Keamanan tercapai dan metode retensi log peristiwa adalah Jangan menimpa acara (Hapus log secara manual) seperti yang dijelaskan dalam hal ini dokumentasi Microsoft . Berikut ini adalah opsi dalam pengaturan log peristiwa keamanan:



chrome tidak akan mulai
  • Timpa acara sesuai kebutuhan (acara terlama terlebih dahulu) – Ini adalah pengaturan default. Setelah ukuran log maksimum tercapai, item lama akan dihapus untuk memberi jalan bagi item baru.
  • Arsipkan log saat penuh, jangan menimpa acara – Jika Anda memilih opsi ini, Windows akan secara otomatis menyimpan log ketika ukuran log maksimum tercapai dan membuat yang baru. Log akan diarsipkan di mana pun log keamanan disimpan. Secara default, ini akan berada di lokasi berikut %SystemRoot%\SYSTEM32\WINEVT\LOGS . Anda dapat melihat properti Peraga Peristiwa masuk untuk menentukan lokasi yang tepat.
  • Jangan menimpa acara (Hapus log secara manual) – Jika Anda memilih opsi ini dan log peristiwa mencapai ukuran maksimum, tidak ada lagi peristiwa yang akan ditulis sampai log dihapus secara manual.

Untuk memeriksa atau memodifikasi pengaturan log peristiwa keamanan Anda, hal pertama yang mungkin ingin Anda ubah adalah Ukuran log maksimum (KB) – ukuran file log maksimum adalah 20 MB (20480 KB). Di luar itu, putuskan kebijakan retensi Anda seperti yang diuraikan di atas.



Log keamanan sekarang penuh (ID Peristiwa 1104)

Ketika batas atas ukuran file Peristiwa Log Keamanan tercapai, dan tidak ada ruang untuk mencatat lebih banyak peristiwa, file ID Kejadian 1104: Log keamanan sekarang penuh akan dicatat yang menunjukkan bahwa file log sudah penuh, dan Anda perlu melakukan salah satu tindakan segera berikut.

  1. Aktifkan penimpaan log di Peraga Peristiwa
  2. Arsipkan log peristiwa keamanan Windows
  3. Hapus Log Keamanan secara manual

Mari kita lihat tindakan yang direkomendasikan ini secara mendetail.

1] Aktifkan penimpaan log di Peraga Peristiwa

Aktifkan penimpaan log di Peraga Peristiwa



masalah pembaruan windows 2018

Secara default, log keamanan dikonfigurasi untuk menimpa peristiwa sesuai kebutuhan. Saat Anda mengaktifkan opsi penimpaan log, ini akan memungkinkan Peraga Peristiwa untuk menimpa log lama, pada gilirannya menghemat memori agar tidak penuh. Jadi, Anda perlu memastikan bahwa opsi ini diaktifkan dengan mengikuti langkah-langkah berikut:

  • tekan Tombol Windows + R untuk memanggil dialog Jalankan.
  • Di kotak dialog Jalankan, ketik eventvwr dan tekan Enter untuk membuka Peraga Peristiwa.
  • Memperluas Log Windows .
  • Klik Keamanan .
  • Di panel kanan, di bawah Tindakan menu, pilih Properti . Atau, klik kanan pada Log keamanan di panel navigasi kiri dan pilih Properti .
  • Sekarang, di bawah Saat ukuran log peristiwa maksimum tercapai bagian, pilih tombol radio untuk Timpa acara sesuai kebutuhan (acara terlama terlebih dahulu) pilihan.
  • Klik Menerapkan > OKE .

Membaca : Cara melihat Event Logs di Windows secara detail

2] Arsipkan log peristiwa keamanan Windows

Di lingkungan yang sadar akan keamanan (terutama di perusahaan/organisasi), mungkin diperlukan atau diwajibkan untuk mengarsipkan log peristiwa keamanan Windows. Ini dapat dilakukan melalui Peraga Peristiwa seperti yang ditunjukkan di atas dengan memilih Arsipkan log saat penuh, jangan menimpa acara pilihan, atau oleh membuat dan menjalankan skrip PowerShell menggunakan kode di bawah ini. Skrip PowerShell akan memeriksa ukuran log peristiwa keamanan dan mengarsipkannya jika perlu. Langkah-langkah yang dilakukan oleh script adalah sebagai berikut:

  • Jika log peristiwa keamanan di bawah 250 MB, peristiwa informasi ditulis ke log peristiwa Aplikasi
  • Jika log lebih dari 250 MB
    • Log diarsipkan ke D:\Logs\OS.
    • Jika operasi pengarsipan gagal, peristiwa kesalahan ditulis ke log peristiwa Aplikasi dan email dikirim.
    • Jika operasi pengarsipan berhasil, peristiwa informasi ditulis ke log peristiwa Aplikasi dan email dikirim.

Sebelum menggunakan skrip di lingkungan Anda, konfigurasikan variabel berikut:

untuk menggunakan pemulihan sistem, Anda harus menentukan instalasi windows mana yang akan dipulihkan
  • $ArchiveSize – Setel ke batas ukuran log yang diinginkan (MB)
  • $ArchiveFolder – Atur ke jalur yang ada di mana Anda ingin pergi arsip file log
  • $mailMsgServer – Atur ke server SMTP yang valid
  • $mailMsgFrom – Setel ke alamat email FROM yang valid
  • $MailMsgTo – Setel ke alamat email KE yang valid
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Membaca : Cara menjadwalkan skrip PowerShell di Penjadwal Tugas

Jika mau, Anda dapat menggunakan file XML untuk menyetel skrip agar berjalan setiap jam. Untuk ini, simpan kode berikut ke file XML lalu impor ke Penjadwal Tugas . Pastikan untuk mengubah bagian ke folder/nama file tempat Anda menyimpan skrip.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Membaca: Tugas XML berisi nilai yang salah tersambung atau di luar jangkauan

Setelah Anda mengaktifkan atau mengonfigurasi pengarsipan log, log terlama akan disimpan dan tidak akan ditimpa dengan log yang lebih baru. Jadi sekarang dan seterusnya, Windows akan mengarsipkan log ketika ukuran log maksimum tercapai dan menyimpannya ke direktori (jika bukan default) yang telah Anda tentukan. File yang diarsipkan akan diberi nama Arsipkan- - formatnya misalnya Arsip-Keamanan-2023-02-14-18-05-34 . File yang diarsipkan sekarang dapat digunakan untuk melacak peristiwa yang lebih lama.

Membaca : Baca Log Peristiwa Windows Defender menggunakan WinDefLogView

3] Hapus Log Keamanan secara manual

Hapus Log Keamanan secara manual

film windows 10 dan aplikasi tv tidak berfungsi

Jika Anda telah menetapkan kebijakan penyimpanan ke Jangan menimpa acara (Hapus log secara manual) , kamu akan membutuhkan menghapus log keamanan secara manual menggunakan salah satu metode berikut.

  • Penampil Acara
  • Utilitas WEVTUTIL.exe
  • Berkas kumpulan

Itu dia!

Sekarang baca : Peristiwa Hilang di Log Peristiwa

ID Peristiwa apa yang terdeteksi malware?

ID log peristiwa keamanan Windows 4688 menunjukkan malware telah terdeteksi pada sistem. Misalnya, jika ada malware di sistem Windows Anda, peristiwa pencarian 4688 akan mengungkapkan proses apa pun yang dijalankan oleh program yang berniat buruk tersebut. Dengan informasi tersebut, Anda dapat melakukan pemindaian cepat, jadwalkan pemindaian Windows Defender , atau jalankan pemindaian Defender Offline .

Apa ID keamanan untuk acara logon?

Di Peraga Peristiwa, file ID Peristiwa 4624 akan dicatat pada setiap upaya yang berhasil masuk ke komputer lokal. Acara ini dibuat di komputer yang diakses, dengan kata lain, tempat sesi logon dibuat. Acara Logon tipe 11: CachedInteractive menunjukkan pengguna masuk ke komputer dengan kredensial jaringan yang disimpan secara lokal di komputer. Pengontrol domain tidak dihubungi untuk memverifikasi kredensial.

Membaca : Layanan Log Peristiwa Windows tidak dimulai atau tidak tersedia .

Kategori
Log Peristiwa
Direkomendasikan
Cara Mengubah Lokasi Folder untuk Mencetak Screenshot di Windows 10
Cara Mengubah Lokasi Folder untuk Mencetak Screenshot di Windows 10
Windows
Opsi baris perintah untuk koneksi desktop jarak jauh di Windows 10
Opsi baris perintah untuk koneksi desktop jarak jauh di Windows 10
Windows
Bagaimana Mail Merge dari Excel ke Outlook
Bagaimana Mail Merge dari Excel ke Outlook
Unggul
Perbaiki file sistem Pembaruan Windows yang rusak dengan Alat DISM
Perbaiki file sistem Pembaruan Windows yang rusak dengan Alat DISM
Windows
Pesan Populer
Tentang Kami
Prankmike Menyediakan Tips, Pedoman, Petunjuk Untuk Windows 10, Fungsi Dan Perangkat Lunak Bebas.
Kategori
Paling Di Lihat
Copyright © 2024Seluruh Hak Cipta | prankmike.com | Kebijakan Pribadi