Das Sicherheitsprotokoll ist jetzt voll (Ereignis-ID 1104)

In der Ereignisanzeige sind die protokollierten Fehler häufig, und Sie werden auf verschiedene Fehler mit unterschiedlichen Ereignis-IDs stoßen. Die Ereignisse, die in den Sicherheitsprotokollen aufgezeichnet werden, sind normalerweise eines der Schlüsselwörter Audit-Erfolg oder Audit-Fehler . In diesem Beitrag werden wir diskutieren Das Sicherheitsprotokoll ist jetzt voll (Ereignis-ID 1104) einschließlich, warum dieses Ereignis ausgelöst wird, und die Aktionen, die Sie in dieser Situation ausführen können, ob auf einem Client- oder Servercomputer.

Computer-Audio über Sonos abspielen

Wie aus der Ereignisbeschreibung hervorgeht, wird dieses Ereignis jedes Mal generiert, wenn das Windows-Sicherheitsprotokoll voll wird. Wenn beispielsweise die maximale Größe der Sicherheitsereignisprotokolldatei erreicht wurde und die Aufbewahrungsmethode für das Ereignisprotokoll lautet Ereignisse nicht überschreiben (Protokolle manuell löschen) wie darin beschrieben Microsoft-Dokumentation . Im Folgenden sind die Optionen in den Sicherheitsereignisprotokolleinstellungen aufgeführt:

• Ereignisse nach Bedarf überschreiben (älteste Ereignisse zuerst) – Dies ist die Standardeinstellung. Sobald die maximale Protokollgröße erreicht ist, werden ältere Elemente gelöscht, um Platz für neue Elemente zu schaffen.
• Archivieren Sie das Protokoll, wenn es voll ist, überschreiben Sie keine Ereignisse – Wenn Sie diese Option auswählen, speichert Windows das Protokoll automatisch, wenn die maximale Protokollgröße erreicht ist, und erstellt ein neues. Das Protokoll wird dort archiviert, wo das Sicherheitsprotokoll gespeichert wird. Standardmäßig befindet sich dies an der folgenden Stelle %SystemRoot%\SYSTEM32\WINEVT\LOGS . Sie können die Eigenschaften der Ereignisanzeige für die Anmeldung anzeigen, um den genauen Speicherort zu ermitteln.
• Ereignisse nicht überschreiben (Protokolle manuell löschen) – Wenn Sie diese Option auswählen und das Ereignisprotokoll die maximale Größe erreicht, werden keine weiteren Ereignisse geschrieben, bis das Protokoll manuell gelöscht wird.

Um die Einstellungen Ihres Sicherheitsereignisprotokolls zu überprüfen oder zu ändern, sollten Sie als Erstes möglicherweise Folgendes ändern: Maximale Protokollgröße (KB) – Die maximale Protokolldateigröße beträgt 20 MB (20480 KB). Legen Sie darüber hinaus Ihre Aufbewahrungsrichtlinie fest, wie oben beschrieben.

Das Sicherheitsprotokoll ist jetzt voll (Ereignis-ID 1104)

Wenn die Obergrenze der Dateigröße des Sicherheitsprotokollereignisses erreicht ist und kein Platz mehr zum Protokollieren weiterer Ereignisse vorhanden ist, wird die Ereignis-ID 1104: Das Sicherheitsprotokoll ist jetzt voll wird protokolliert, was darauf hinweist, dass die Protokolldatei voll ist, und Sie müssen eine der folgenden sofortigen Aktionen ausführen.

1. Aktivieren Sie das Überschreiben von Protokollen in der Ereignisanzeige
2. Archivieren Sie das Windows-Sicherheitsereignisprotokoll
3. Löschen Sie das Sicherheitsprotokoll manuell

Sehen wir uns diese empfohlenen Maßnahmen im Detail an.

1] Aktivieren Sie das Überschreiben des Protokolls in der Ereignisanzeige

Standardmäßig ist das Sicherheitsprotokoll so konfiguriert, dass Ereignisse nach Bedarf überschrieben werden. Wenn Sie die Option zum Überschreiben von Protokollen aktivieren, ermöglicht dies der Ereignisanzeige, die alten Protokolle zu überschreiben, was wiederum verhindert, dass der Speicher voll wird. Sie müssen also sicherstellen, dass diese Option aktiviert ist, indem Sie die folgenden Schritte ausführen:

beste Opernerweiterungen

• Drücken Sie die Windows-Taste + R um den Ausführen-Dialog aufzurufen.
• Geben Sie im Dialogfeld „Ausführen“ Folgendes ein eventvwr und drücken Sie die Eingabetaste, um die Ereignisanzeige zu öffnen.
• Expandieren Windows-Protokolle .
• Klicken Sicherheit .
• Im rechten Bereich unter der Aktionen Menü, auswählen Eigenschaften . Alternativ klicken Sie mit der rechten Maustaste auf die Sicherheitsprotokoll im linken Navigationsbereich und wählen Sie aus Eigenschaften .
• Jetzt unter der Wenn die maximale Größe des Ereignisprotokolls erreicht ist Wählen Sie im Abschnitt das Optionsfeld für die aus Ereignisse nach Bedarf überschreiben (älteste Ereignisse zuerst) Möglichkeit.
• Klicken Anwenden > OK .

Lesen : So zeigen Sie Ereignisprotokolle in Windows im Detail an

2] Archivieren Sie das Windows-Sicherheitsereignisprotokoll

In einer sicherheitsbewussten Umgebung (insbesondere in einem Unternehmen/einer Organisation) kann es erforderlich oder vorgeschrieben sein, das Windows-Sicherheitsereignisprotokoll zu archivieren. Dies kann über die Ereignisanzeige erfolgen, wie oben gezeigt, indem Sie auswählen Archivieren Sie das Protokoll, wenn es voll ist, überschreiben Sie keine Ereignisse Option oder durch Erstellen und Ausführen eines PowerShell-Skripts mit dem folgenden Code. Das PowerShell-Skript überprüft die Größe des Sicherheitsereignisprotokolls und archiviert es bei Bedarf. Die vom Skript ausgeführten Schritte sind wie folgt:

• Wenn das Sicherheitsereignisprotokoll weniger als 250 MB groß ist, wird ein Informationsereignis in das Anwendungsereignisprotokoll geschrieben
• Wenn das Protokoll über 250 MB groß ist
  • Das Protokoll wird unter D:\Logs\OS archiviert.
  • Wenn der Archivierungsvorgang fehlschlägt, wird ein Fehlerereignis in das Anwendungsereignisprotokoll geschrieben und eine E-Mail gesendet.
  • Wenn der Archivierungsvorgang erfolgreich ist, wird ein Informationsereignis in das Anwendungsereignisprotokoll geschrieben und eine E-Mail gesendet.

Bevor Sie das Skript in Ihrer Umgebung verwenden, konfigurieren Sie die folgenden Variablen:

• $ArchiveSize – Legen Sie die gewünschte Protokollgröße fest (MB)
• $ArchiveFolder – Legen Sie einen vorhandenen Pfad fest, in den die Protokolldateiarchive verschoben werden sollen
• $mailMsgServer – Auf einen gültigen SMTP-Server setzen
• $mailMsgFrom – Auf eine gültige FROM-E-Mail-Adresse setzen
• $MailMsgTo – Auf eine gültige TO-E-Mail-Adresse setzen

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Lesen : So planen Sie das PowerShell-Skript im Taskplaner

Wenn Sie möchten, können Sie eine XML-Datei verwenden, um das Skript so einzustellen, dass es jede Stunde ausgeführt wird. Speichern Sie dazu den folgenden Code in eine XML-Datei und dann Importieren Sie es in den Taskplaner . Stellen Sie sicher, dass Sie die ändern Abschnitt zum Ordner-/Dateinamen, in dem Sie das Skript gespeichert haben.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Lesen: Aufgaben-XML enthält einen Wert, der falsch verbunden ist oder außerhalb des zulässigen Bereichs liegt

Sobald Sie die Archivierung der Protokolle aktiviert oder konfiguriert haben, werden die ältesten Protokolle gespeichert und nicht mit neueren Protokollen überschrieben. Von nun an archiviert Windows das Protokoll, wenn die maximale Protokollgröße erreicht ist, und speichert es in dem von Ihnen angegebenen Verzeichnis (falls nicht dem Standardverzeichnis). Die archivierte Datei wird in benannt Archiv- - formatieren, z. Archiv-Sicherheit-2023-02-14-18-05-34 . Die archivierte Datei kann nun verwendet werden, um ältere Ereignisse aufzuspüren.

Geschichte von Microsoft Office

Lesen : Lesen Sie das Windows Defender-Ereignisprotokoll mit WinDefLogView

3] Löschen Sie das Sicherheitsprotokoll manuell

Wenn Sie die Aufbewahrungsrichtlinie auf festgelegt haben Ereignisse nicht überschreiben (Protokolle manuell löschen) , du wirst brauchen Löschen Sie das Sicherheitsprotokoll manuell mit einer der folgenden Methoden.

• Ereignisanzeige
• WEVTUTIL.exe-Dienstprogramm
• Batch-Datei

Das ist es!

Jetzt lesen : Fehlende Ereignisse im Ereignisprotokoll

Windows 10 automatisch drehen

Unter welcher Ereignis-ID wurde Malware erkannt?

Die Windows-Sicherheitsereignisprotokoll-ID 4688 zeigt an, dass Malware auf dem System erkannt wurde. Wenn auf Ihrem Windows-System beispielsweise Malware vorhanden ist, werden durch die Suche nach Ereignis 4688 alle Prozesse angezeigt, die von diesem böswilligen Programm ausgeführt werden. Mit diesen Informationen können Sie einen schnellen Scan durchführen, Planen Sie einen Windows Defender-Scan , oder Führen Sie einen Defender Offline-Scan durch .

Wie lautet die Sicherheits-ID für das Anmeldeereignis?

In der Ereignisanzeige wird die Ereignis-ID 4624 wird bei jedem erfolgreichen Anmeldeversuch an einem lokalen Computer protokolliert. Dieses Ereignis wird auf dem Computer generiert, auf den zugegriffen wurde, dh auf dem die Anmeldesitzung erstellt wurde. Das Ereignis Anmeldetyp 11: CachedInteractive gibt einen Benutzer an, der an einem Computer mit Netzwerkanmeldeinformationen angemeldet ist, die lokal auf dem Computer gespeichert wurden. Der Domänencontroller wurde nicht kontaktiert, um die Anmeldeinformationen zu überprüfen.

Lesen : Der Windows-Ereignisprotokolldienst wird nicht gestartet oder ist nicht verfügbar .