El registro de seguridad ahora está lleno (Id. de evento 1104)
En el Visor de eventos, los errores registrados son comunes y encontrará diferentes errores con diferentes ID de eventos. Los eventos que se registran en los registros de seguridad generalmente serán de la palabra clave Audit Success o Audit Failure. En esta publicación, discutiremos El registro de seguridad ahora está lleno (Event ID 1104), incluido por qué se activa este evento y las acciones que puede realizar en esta situación, ya sea en una máquina cliente o servidor.
Como indica la descripción del evento, este evento se genera cada vez que el registro de seguridad de Windows se llena. Por ejemplo, si se alcanzó el tamaño máximo del archivo de registro de eventos de seguridad y el método de retención del registro de eventos es No sobrescribir eventos (Borrar registros manualmente) como se describe en esta documentación de Microsoft . Las siguientes son las opciones en la configuración del registro de eventos de seguridad:
- Sobrescribir eventos según sea necesario (primero los eventos más antiguos) : esta es la configuración predeterminada. Una vez que se alcance el tamaño máximo de registro, los elementos más antiguos se eliminarán para dejar paso a los nuevos.
- Archive el registro cuando esté lleno, no sobrescriba los eventos : si selecciona esta opción, Windows guardará automáticamente el registro cuando se alcance el tamaño máximo de registro y creará uno nuevo. El registro se archivará donde se almacene el registro de seguridad. De forma predeterminada, estará en la siguiente ubicación %SystemRoot%\SYSTEM32\WINEVT\LOGS. Puede ver las propiedades del Visor de eventos de inicio de sesión para determinar la ubicación exacta.
- No sobrescribir eventos (Borrar registros manualmente) : si selecciona esta opción y el registro de eventos alcanza el tamaño máximo, no se escribirán más eventos hasta que el registro se borre manualmente.
Para comprobar o modificar la configuración del registro de eventos de seguridad, lo primero que querrá cambiar sería el Tamaño máximo de registro (KB): el tamaño máximo del archivo de registro es de 20 MB (20480 KB). Más allá de eso, decida su política de retención según lo descrito anteriormente.
El registro de seguridad ahora está lleno (Id. de evento 1104)
Cuando se alcanza el límite superior del tamaño del archivo de eventos del registro de seguridad y no hay espacio para registrar más eventos, se registrará el ID de evento 1104: El registro de seguridad ahora está lleno, lo que indica que el archivo de registro está lleno y debe realizar cualquiera de las siguientes acciones inmediatas.
- Habilitar la sobrescritura de registros en el Visor de eventos
- Archivar el registro de eventos de seguridad de Windows
- Borrar manualmente el registro de seguridad
Veamos estas acciones recomendadas en detalle.
1] Habilitar la sobrescritura de registros en el Visor de eventos
De manera predeterminada, el registro de seguridad está configurado para sobrescribir eventos según sea necesario. Cuando activa la opción de sobrescribir registros, esto permitirá que el Visor de eventos sobrescriba los registros antiguos, evitando que la memoria se llene. Por lo tanto, debe asegurarse de que esta opción esté habilitada siguiendo estos pasos:
- Presione la tecla de Windows + R para invocar el cuadro de diálogo Ejecutar.
- En el cuadro de diálogo Ejecutar, escriba eventvwr y presione Entrar para abrir el Visor de eventos.
- Expanda Registros de Windows .
- Haga clic en Seguridad .
- En el panel derecho, en el menú Acciones , seleccione Propiedades . Como alternativa, haga clic con el botón derecho en el registro de seguridad en el panel de navegación izquierdo y seleccione Propiedades .
- Ahora, en la sección Cuando se alcance el tamaño máximo del registro de eventos , seleccione el botón de radio para la opción Sobrescribir eventos según sea necesario (los eventos más antiguos primero).
- Haga clic en Aplicar > Aceptar .
2] Archivar el registro de eventos de seguridad de Windows
En un entorno consciente de la seguridad (especialmente en una empresa/organización), puede ser necesario u obligatorio archivar el registro de eventos de seguridad de Windows. Esto se puede hacer a través del Visor de eventos como se muestra arriba seleccionando la opción Archivar el registro cuando esté lleno, no sobrescribir eventos, o creando y ejecutando un script de PowerShell usando el código a continuación. El script de PowerShell verificará el tamaño del registro de eventos de seguridad y lo archivará si es necesario. Los pasos que realiza el script son los siguientes:
- Si el registro de eventos de seguridad tiene menos de 250 MB, se escribe un evento informativo en el registro de eventos de la aplicación.
- Si el registro tiene más de 250 MB
- El registro se archiva en D:\Logs\OS.
- Si la operación de archivado falla, se escribe un evento de error en el registro de eventos de la aplicación y se envía un correo electrónico.
- Si la operación de archivo tiene éxito, se escribe un evento informativo en el registro de eventos de la aplicación y se envía un correo electrónico.
Antes de utilizar el script en su entorno, configure las siguientes variables:
- $ArchiveSize: establezca el límite de tamaño de registro deseado (MB)
- $ArchiveFolder: establece una ruta existente donde desea que vayan los archivos de registro
- $mailMsgServer: establecido en un servidor SMTP válido
- $mailMsgFrom – Establecido en una dirección de correo electrónico DE válida
- $MailMsgTo: establecer una dirección de correo electrónico TO válida
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting. .."-ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-"+ (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()
Si lo desea, puede usar un archivo XML para configurar el script para que se ejecute cada hora. Para esto, guarde el siguiente código en un archivo XML y luego impórtelo en el Programador de tareas. Asegúrese de cambiar la sección <Argumentos> al nombre de la carpeta/archivo donde guardó el script.
<?xml version="1.0"encoding="UTF-16"?>
<Task version="1.3"xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>
Una vez que haya habilitado o configurado el archivado de registros, los registros más antiguos se guardarán y no se sobrescribirán con registros más nuevos. De ahora en adelante, Windows archivará el registro cuando se alcance el tamaño máximo de registro y lo guardará en el directorio (si no es el predeterminado) que haya especificado. El archivo archivado se nombrará en formato Archivo-<Sección>-<Fecha/Hora>, por ejemplo, Archivo-Seguridad-2023-02-14-18-05-34. El archivo archivado ahora se puede usar para rastrear eventos más antiguos.
3] Borrar manualmente el registro de seguridad
Si configuró la política de retención en No sobrescribir eventos (Borrar registros manualmente), deberá borrar manualmente el registro de seguridad usando cualquiera de los siguientes métodos.
- Visor de eventos
- Utilidad WEVTUTIL.exe
- Archivo por lotes
¡Eso es todo!
¿Qué ID de evento es el malware detectado?
El ID de registro de eventos de seguridad de Windows 4688 indica que se ha detectado malware en el sistema. Por ejemplo, si hay malware presente en su sistema Windows, la búsqueda del evento 4688 revelará cualquier proceso ejecutado por ese programa mal intencionado. Con esa información, puede realizar un análisis rápido, programar un análisis de Windows Defender o ejecutar un análisis sin conexión de Defender.
¿Cuál es el ID de seguridad para el evento de inicio de sesión?
En el Visor de eventos, el ID de evento 4624 se registrará en cada intento exitoso de iniciar sesión en una computadora local. Este evento se genera en el equipo al que se accedió, es decir, donde se creó la sesión de inicio de sesión. El evento Tipo de inicio de sesión 11: CachedInteractive indica que un usuario inició sesión en una computadora con credenciales de red que se almacenaron localmente en la computadora. No se contactó con el controlador de dominio para verificar las credenciales.
Deja una respuesta