Il registro di sicurezza è ora pieno (ID evento 1104)

Il registro di sicurezza è ora pieno (ID evento 1104)

Nel Visualizzatore eventi, gli errori registrati sono comuni e incontrerai errori diversi con ID evento diversi. Gli eventi che vengono registrati nei registri di sicurezza in genere saranno la parola chiave Audit Success o Audit Failure. In questo post, discuteremo Il registro di sicurezza è ora pieno (ID evento 1104) incluso il motivo per cui questo evento viene attivato e le azioni che puoi eseguire in questa situazione su un computer client o server.

Come indica la descrizione dell’evento, questo evento viene generato ogni volta che il registro di sicurezza di Windows si riempie. Ad esempio, se è stata raggiunta la dimensione massima del file del registro eventi di sicurezza e il metodo di conservazione del registro eventi è Non sovrascrivere gli eventi (cancellare i registri manualmente) come descritto in questa documentazione Microsoft . Di seguito sono riportate le opzioni nelle impostazioni del registro eventi di sicurezza:

  • Sovrascrivi gli eventi secondo necessità (prima gli eventi più vecchi) : questa è l’impostazione predefinita. Una volta raggiunta la dimensione massima del registro, gli elementi meno recenti verranno eliminati per far posto ai nuovi elementi.
  • Archivia il registro quando è pieno, non sovrascrivere gli eventi : se si seleziona questa opzione, Windows salverà automaticamente il registro quando viene raggiunta la dimensione massima del registro e ne creerà uno nuovo. Il registro verrà archiviato ovunque venga archiviato il registro di sicurezza. Per impostazione predefinita, si troverà nella seguente posizione %SystemRoot%\SYSTEM32\WINEVT\LOGS. È possibile visualizzare le proprietà del Visualizzatore eventi di accesso per determinare la posizione esatta.
  • Non sovrascrivere gli eventi (cancella i registri manualmente) : se si seleziona questa opzione e il registro eventi raggiunge la dimensione massima, non verranno scritti altri eventi finché il registro non viene cancellato manualmente.

Per verificare o modificare le impostazioni del registro eventi di sicurezza, la prima cosa da modificare sarebbe la dimensione massima del registro (KB): la dimensione massima del file di registro è 20 MB (20480 KB). Oltre a ciò, decidi la tua politica di conservazione come descritto sopra.

Il registro di sicurezza è ora pieno (ID evento 1104)

Quando viene raggiunto il limite superiore della dimensione del file dell’evento del registro di sicurezza e non c’è spazio per registrare altri eventi, verrà registrato l’ID evento 1104: Il registro di sicurezza è ora pieno, a indicare che il file di registro è pieno ed è necessario eseguire una delle seguenti azioni immediate.

  1. Abilita la sovrascrittura del registro nel Visualizzatore eventi
  2. Archivia il registro eventi di sicurezza di Windows
  3. Cancella manualmente il registro di sicurezza

Vediamo nel dettaglio queste azioni consigliate.

1] Abilita la sovrascrittura del registro nel Visualizzatore eventi

Abilita la sovrascrittura del registro nel Visualizzatore eventi

Per impostazione predefinita, il registro di sicurezza è configurato per sovrascrivere gli eventi secondo necessità. Quando si attiva l’opzione di sovrascrittura dei registri, ciò consentirà al Visualizzatore eventi di sovrascrivere i vecchi registri, evitando a sua volta che la memoria si riempia. Quindi, devi assicurarti che questa opzione sia abilitata seguendo questi passaggi:

  • Premi il tasto Windows + R per richiamare la finestra di dialogo Esegui.
  • Nella finestra di dialogo Esegui, digita eventvwr e premi Invio per aprire il Visualizzatore eventi.
  • Espandere Registri di Windows .
  • Fai clic su Sicurezza .
  • Nel riquadro di destra, nel menu Azioni , seleziona Proprietà . In alternativa, fai clic con il pulsante destro del mouse sul Registro di sicurezza nel riquadro di navigazione a sinistra e seleziona Proprietà .
  • Ora, nella sezione Quando viene raggiunta la dimensione massima del registro eventi , selezionare il pulsante di opzione per l’opzione Sovrascrivi eventi secondo necessità (prima gli eventi più vecchi).
  • Fare clic su Applica > OK .

2] Archivia il registro eventi di sicurezza di Windows

In un ambiente attento alla sicurezza (soprattutto in un’azienda/organizzazione), potrebbe essere necessario o obbligatorio archiviare il registro eventi di sicurezza di Windows. Questa operazione può essere eseguita tramite il Visualizzatore eventi come mostrato sopra selezionando l’opzione Archivia il registro quando è pieno, non sovrascrivere gli eventi o creando ed eseguendo uno script PowerShell utilizzando il codice seguente. Lo script di PowerShell controllerà le dimensioni del registro eventi di sicurezza e lo archivierà se necessario. I passaggi eseguiti dallo script sono i seguenti:

  • Se il registro eventi di protezione è inferiore a 250 MB, viene scritto un evento informativo nel registro eventi dell’applicazione
  • Se il registro supera i 250 MB
    • Il registro viene archiviato in D:\Logs\OS.
    • Se l’operazione di archiviazione non riesce, viene scritto un evento di errore nel registro eventi dell’applicazione e viene inviata un’e-mail.
    • Se l’operazione di archiviazione ha esito positivo, viene scritto un evento informativo nel registro eventi dell’applicazione e viene inviata un’e-mail.

Prima di utilizzare lo script nel proprio ambiente, configurare le seguenti variabili:

  • $ArchiveSize: imposta il limite di dimensione del registro desiderato (MB)
  • $ArchiveFolder: impostare su un percorso esistente in cui si desidera inserire gli archivi dei file di registro
  • $mailMsgServer – Impostato su un server SMTP valido
  • $mailMsgFrom: impostato su un indirizzo e-mail FROM valido
  • $MailMsgTo: impostare su un indirizzo e-mail TO valido

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"

# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250

# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting. .."-ForegroundColor Red
Exit
}

# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"

# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}

# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host

# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-"+ (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Se lo desideri, puoi utilizzare un file XML per impostare lo script in modo che venga eseguito ogni ora. Per questo, salvare il codice seguente in un file XML e quindi importarlo nell’Utilità di pianificazione. Assicurati di modificare la sezione <Arguments> con il nome della cartella/file in cui hai salvato lo script.

<?xml version="1.0"encoding="UTF-16"?>
<Task version="1.3"xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>

Una volta abilitata o configurata l’archiviazione dei registri, i registri più vecchi verranno salvati e non verranno sovrascritti con i registri più recenti. Quindi ora in poi, Windows archivierà il registro quando viene raggiunta la dimensione massima del registro e lo salverà nella directory (se non quella predefinita) che hai specificato. Il file archiviato verrà denominato nel formato Archive-<Section>-<Date/Time>, ad esempio Archive-Security-2023-02-14-18-05-34. Il file archiviato può ora essere utilizzato per rintracciare eventi precedenti.

3] Cancella manualmente il registro di sicurezza

Cancella manualmente il registro di sicurezza

Se il criterio di conservazione è stato impostato su Non sovrascrivere gli eventi (cancellare i registri manualmente), sarà necessario cancellare manualmente il registro di sicurezza utilizzando uno dei seguenti metodi.

  • Visualizzatore eventi
  • Utilità WEVTUTIL.exe
  • Fascicolo batch

Questo è tutto!

Quale ID evento viene rilevato dal malware?

L’ID registro eventi di sicurezza di Windows 4688 indica che è stato rilevato malware nel sistema. Ad esempio, se è presente malware sul tuo sistema Windows, la ricerca dell’evento 4688 rivelerà tutti i processi eseguiti da quel programma malintenzionato. Con queste informazioni, puoi eseguire una scansione rapida, pianificare una scansione di Windows Defender o eseguire una scansione offline di Defender.

Qual è l’ID di sicurezza per l’evento di accesso?

Nel Visualizzatore eventi, l’ ID evento 4624 verrà registrato a ogni tentativo riuscito di accesso a un computer locale. Questo evento viene generato sul computer a cui è stato effettuato l’accesso, ovvero dove è stata creata la sessione di accesso. L’evento Tipo di accesso 11: CachedInteractive indica che un utente ha eseguito l’accesso a un computer con credenziali di rete archiviate localmente nel computer. Il controller di dominio non è stato contattato per verificare le credenziali.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *