No Visualizador de eventos, os erros registrados são comuns e você encontrará diferentes erros com diferentes IDs de evento. Os eventos que são registrados nos logs de segurança geralmente serão uma das palavras-chave Sucesso ou Falha na Auditoria . Neste post, vamos discutir O log de segurança agora está cheio (Event ID 1104) incluindo por que esse evento é acionado e as ações que você pode executar nessa situação, seja em uma máquina cliente ou servidor.
Como indica a descrição do evento, esse evento é gerado toda vez que o log de segurança do Windows fica cheio. Por exemplo, se o tamanho máximo do arquivo de log de eventos de segurança for atingido e o método de retenção do log de eventos for Não substitua os eventos (limpe os logs manualmente) conforme descrito neste Documentação da Microsoft . A seguir estão as opções nas configurações do log de eventos de segurança:
- Sobrescrever eventos conforme necessário (eventos mais antigos primeiro) - Esta é a configuração padrão. Quando o tamanho máximo do log for atingido, os itens mais antigos serão excluídos para dar lugar a novos itens.
- Arquive o log quando estiver cheio, não sobrescreva os eventos – Se você selecionar esta opção, o Windows salvará automaticamente o log quando o tamanho máximo do log for atingido e criará um novo. O log será arquivado onde quer que o log de segurança esteja sendo armazenado. Por padrão, isso estará no seguinte local %SystemRoot%\SYSTEM32\WINEVT\LOGS . Você pode exibir as propriedades do Visualizador de eventos de login para determinar o local exato.
- Não substitua os eventos (limpe os logs manualmente) – Se você selecionar esta opção e o log de eventos atingir o tamanho máximo, nenhum outro evento será gravado até que o log seja limpo manualmente.
Para verificar ou modificar suas configurações de log de eventos de segurança, a primeira coisa que você pode querer mudar seria o Tamanho máximo do registro (KB) – o tamanho máximo do arquivo de log é 20 MB (20480 KB). Além disso, decida sobre sua política de retenção conforme descrito acima.
O log de segurança agora está cheio (Event ID 1104)
Quando o limite superior do tamanho do arquivo de eventos de log de segurança é atingido e não há espaço para registrar mais eventos, o ID do evento 1104: o log de segurança agora está cheio será registrado indicando que o arquivo de log está cheio e você precisa executar qualquer uma das seguintes ações imediatas.
- Habilitar a substituição de log no Visualizador de Eventos
- Arquivar o log de eventos de segurança do Windows
- Limpar manualmente o registro de segurança
Vamos ver essas ações recomendadas em detalhes.
1] Habilitar a substituição de log no Visualizador de Eventos
desbloqueio de impressão digital remoto
Por padrão, o log de segurança é configurado para substituir eventos conforme necessário. Ao ativar a opção de substituição de logs, isso permitirá que o Visualizador de eventos substitua os logs antigos, evitando que a memória fique cheia. Portanto, você precisa garantir que essa opção esteja ativada seguindo estas etapas:
- aperte o Tecla do Windows + R para invocar a caixa de diálogo Executar.
- Na caixa de diálogo Executar, digite eventvwr e pressione Enter para abrir o Visualizador de Eventos.
- Expandir Registros do Windows .
- Clique Segurança .
- No painel direito, sob o Ações menu, selecione Propriedades . Como alternativa, clique com o botão direito do mouse no Registro de segurança no painel de navegação esquerdo e selecione Propriedades .
- Agora, sob o Quando o tamanho máximo do log de eventos é atingido seção, selecione o botão de rádio para o Sobrescrever eventos conforme necessário (eventos mais antigos primeiro) opção.
- Clique Aplicar > OK .
Ler : Como visualizar logs de eventos no Windows em detalhes
2] Arquive o log de eventos de segurança do Windows
Em um ambiente preocupado com a segurança (especialmente em uma empresa/organização), pode ser necessário ou obrigatório arquivar o log de eventos de segurança do Windows. Isso pode ser feito por meio do Visualizador de eventos, conforme mostrado acima, selecionando o Arquive o log quando estiver cheio, não sobrescreva os eventos opção, ou por criando e executando um script do PowerShell usando o código abaixo. O script do PowerShell verificará o tamanho do log de eventos de segurança e o arquivará, se necessário. As etapas executadas pelo script são as seguintes:
- Se o log de eventos de segurança estiver abaixo de 250 MB, um evento informativo será gravado no log de eventos do aplicativo
- Se o log tiver mais de 250 MB
- O log é arquivado em D:\Logs\OS.
- Se a operação de arquivamento falhar, um evento de erro será gravado no log de eventos do aplicativo e um e-mail será enviado.
- Se a operação de arquivamento for bem-sucedida, um evento informativo será gravado no log de eventos do aplicativo e um e-mail será enviado.
Antes de utilizar o script em seu ambiente, configure as seguintes variáveis:
- $ArchiveSize – Defina o limite de tamanho de log desejado (MB)
- $ArchiveFolder – Defina para um caminho existente onde você deseja que os arquivos de log sejam arquivados
- $mailMsgServer – Defina como um servidor SMTP válido
- $mailMsgFrom – Defina como um endereço de e-mail DE válido
- $MailMsgTo – Defina como um endereço de e-mail TO válido
# Set the archive location $ArchiveFolder = "D:\Logs\OS" # How big can the security event log get in MB before we automatically archive? $ArchiveSize = 250 # Verify the archive folder exists If (!(Test-Path $ArchiveFolder)) { Write-Host Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red Exit } # Configure environment $sysName = $env:computername $eventName = "Security Event Log Monitoring" $mailMsgServer = "your.smtp.server.name" $mailMsgSubject = "$sysName Security Event Log Monitoring" $mailMsgFrom = "[email protected]" $mailMsgTo = "[email protected]" # Add event source to application log if necessary If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { New-EventLog -LogName Application -Source $eventName } # Check the security log $Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'" $SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2) $SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2) Write-Host # Archive the security log if over the limit If ($SizeCurrentMB -gt $ArchiveSize) { $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt" $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB." $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue If ($Results -eq 0) { # Successful backup of security event log $Results = ($Log.ClearEventlog()).ReturnValue $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } Else { $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!" Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } } Else { # Write an informational event to the application event log $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 } # Close the log $Log.Dispose()
Ler : Como agendar o script do PowerShell no Agendador de Tarefas
Se desejar, você pode usar um arquivo XML para configurar o script para ser executado a cada hora. Para isso, salve o código a seguir em um arquivo XML e, em seguida, importe-o para o Agendador de Tarefas . Certifique-se de alterar o
<?xml version="1.0" encoding="UTF-16"?> <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2017-01-18T16:41:30.9576112</Date> <Description>Monitor security event log. Archive and clear log if threshold is met.</Description> </RegistrationInfo> <Triggers> <CalendarTrigger> <Repetition> <Interval>PT2H</Interval> <StopAtDurationEnd>false</StopAtDurationEnd> </Repetition> <StartBoundary>2017-01-18T00:00:00</StartBoundary> <ExecutionTimeLimit>PT30M</ExecutionTimeLimit> <Enabled>true</Enabled> <ScheduleByDay> <DaysInterval>1</DaysInterval> </ScheduleByDay> </CalendarTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>S-1-5-18</UserId> <RunLevel>HighestAvailable</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>true</AllowHardTerminate> <StartWhenAvailable>false</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession> <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>P3D</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command> <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments> </Exec> </Actions> </Task>
Ler: O XML da tarefa contém um valor que está conectado incorretamente ou fora do intervalo
Depois de habilitar ou configurar o arquivamento dos logs, os logs mais antigos serão salvos e não serão substituídos pelos logs mais recentes. A partir de agora, o Windows arquivará o log quando o tamanho máximo do log for atingido e o salvará no diretório (se não for o padrão) que você especificou. O arquivo arquivado será nomeado em Arquivo-
Ler : Leia o log de eventos do Windows Defender usando o WinDefLogView
3] Limpe manualmente o registro de segurança
Se você definiu a política de retenção para Não sobrescrever eventos (limpar logs manualmente) , você vai precisar limpar manualmente o log de segurança usando qualquer um dos seguintes métodos.
- Visualizador de eventos
- Utilitário WEVTUTIL.exe
- arquivo em lote
É isso!
Agora lê : Eventos ausentes no log de eventos
Qual ID de evento é detectado por malware?
O ID de log de eventos de segurança do Windows 4688 indica que o malware foi detectado no sistema. Por exemplo, se houver malware presente em seu sistema Windows, pesquisar o evento 4688 revelará todos os processos executados por esse programa mal-intencionado. Com essas informações, você pode realizar uma varredura rápida, agende uma verificação do Windows Defender , ou executar uma verificação offline do Defender .
Qual é o ID de segurança para o evento de logon?
No Visualizador de Eventos, o Identificação do evento 4624 será registrado em cada tentativa bem-sucedida de logon em um computador local. Este evento é gerado no computador que foi acessado, ou seja, onde foi criada a sessão de logon. O evento Tipo de logon 11: CachedInteractive indica um usuário conectado a um computador com credenciais de rede que foram armazenadas localmente no computador. O controlador de domínio não foi contatado para verificar as credenciais.
Ler : O serviço de log de eventos do Windows não inicia ou não está disponível .