Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)

Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)

In Event Viewer zijn de geregistreerde fouten veelvoorkomend en zult u verschillende fouten tegenkomen met verschillende gebeurtenis-ID’s. De gebeurtenissen die in de beveiligingslogboeken worden vastgelegd, zijn meestal het trefwoord Audit Success of Audit Failure. In dit bericht bespreken we Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104), inclusief waarom deze gebeurtenis wordt geactiveerd en de acties die u in deze situatie kunt uitvoeren, zowel op een client- als op een servermachine.

Zoals de gebeurtenisbeschrijving aangeeft, wordt deze gebeurtenis gegenereerd telkens wanneer het Windows-beveiligingslogboek vol raakt. Als de maximale grootte van het bestand Beveiligingsgebeurtenislogboek bijvoorbeeld is bereikt en de bewaarmethode voor gebeurtenislogboeken is Gebeurtenissen niet overschrijven (logboeken handmatig wissen) zoals beschreven in deze Microsoft-documentatie . Dit zijn de opties in de instellingen van het logboek voor beveiligingsgebeurtenissen:

  • Gebeurtenissen zo nodig overschrijven (oudste gebeurtenissen eerst) – Dit is de standaardinstelling. Zodra de maximale loggrootte is bereikt, worden oudere items verwijderd om plaats te maken voor nieuwe items.
  • Archiveer het logboek wanneer het vol is, overschrijf geen gebeurtenissen – Als u deze optie selecteert, zal Windows het logboek automatisch opslaan wanneer de maximale logboekgrootte is bereikt en een nieuw logboek maken. Het logboek wordt gearchiveerd waar het beveiligingslogboek ook wordt opgeslagen. Standaard staat dit op de volgende locatie %SystemRoot%\SYSTEM32\WINEVT\LOGS. U kunt de eigenschappen van de log-in Event Viewer bekijken om de exacte locatie te bepalen.
  • Gebeurtenissen niet overschrijven (Logboeken handmatig wissen) – Als u deze optie selecteert en het gebeurtenislogboek de maximale grootte bereikt, worden er geen verdere gebeurtenissen geschreven totdat het logboek handmatig wordt gewist.

Als u de instellingen van uw beveiligingsgebeurtenislogboek wilt controleren of wijzigen, is het eerste dat u mogelijk wilt wijzigen de maximale loggrootte (KB). De maximale logbestandsgrootte is 20 MB (20480 KB). Beslis verder over uw bewaarbeleid zoals hierboven beschreven.

Het beveiligingslogboek is nu vol (gebeurtenis-ID 1104)

Wanneer de bovengrens van de bestandsgrootte van het beveiligingslogboek is bereikt en er geen ruimte is om meer gebeurtenissen te loggen, wordt de gebeurtenis-ID 1104: Het beveiligingslogboek is nu vol gelogd om aan te geven dat het logbestand vol is en dat u voer een van de volgende onmiddellijke acties uit.

  1. Schakel het overschrijven van logboeken in Event Viewer in
  2. Archiveer het Windows-beveiligingsgebeurtenislogboek
  3. Wis het beveiligingslogboek handmatig

Laten we deze aanbevolen acties in detail bekijken.

1] Schakel het overschrijven van logboeken in Event Viewer in

Schakel het overschrijven van logboeken in Event Viewer in

Het beveiligingslogboek is standaard geconfigureerd om gebeurtenissen naar behoefte te overschrijven. Wanneer u de optie voor het overschrijven van logboeken inschakelt, kan Logboeken de oude logboeken overschrijven, waardoor het geheugen niet vol raakt. U moet er dus voor zorgen dat deze optie is ingeschakeld door deze stappen te volgen:

  • Druk op de Windows-toets + R om het dialoogvenster Uitvoeren op te roepen.
  • Typ eventvwr in het dialoogvenster Uitvoeren en druk op Enter om Logboeken te openen.
  • Vouw Windows-logboeken uit .
  • Klik op Beveiliging .
  • Selecteer Eigenschappen in het rechterdeelvenster onder het menu Acties . U kunt ook met de rechtermuisknop op het beveiligingslogboek in het linkernavigatievenster klikken en Eigenschappen selecteren .
  • Selecteer nu onder het gedeelte Wanneer de maximale grootte van het gebeurtenislogboek is bereikt het keuzerondje voor de optie Gebeurtenissen overschrijven naar behoefte (oudste gebeurtenissen eerst).
  • Klik op Toepassen > OK .

2] Archiveer het Windows-beveiligingsgebeurtenislogboek

In een beveiligingsbewuste omgeving (vooral in een onderneming/organisatie) kan het nodig of verplicht zijn om het Windows-beveiligingsgebeurtenislogboek te archiveren. Dit kan worden gedaan via de Event Viewer, zoals hierboven weergegeven, door de optie Logboek archiveren wanneer vol, gebeurtenissen niet overschrijven te selecteren, of door een PowerShell-script te maken en uit te voeren met behulp van de onderstaande code. Het PowerShell-script controleert de grootte van het beveiligingsgebeurtenislogboek en archiveert het indien nodig. De stappen die door het script worden uitgevoerd, zijn als volgt:

  • Als het beveiligingsgebeurtenislogboek kleiner is dan 250 MB, wordt een informatieve gebeurtenis naar het toepassingsgebeurtenislogboek geschreven
  • Als het logboek groter is dan 250 MB
    • Het logboek wordt gearchiveerd in D:\Logs\OS.
    • Als de archivering mislukt, wordt er een foutgebeurtenis naar het toepassingsgebeurtenislogboek geschreven en wordt er een e-mail verzonden.
    • Als de archiveringsbewerking slaagt, wordt er een informatieve gebeurtenis naar het toepassingsgebeurtenislogboek geschreven en wordt er een e-mail verzonden.

Configureer de volgende variabelen voordat u het script in uw omgeving gebruikt:

  • $ArchiveSize – Stel in op de gewenste limiet voor loggrootte (MB)
  • $ArchiveFolder – Stel in op een bestaand pad waar u de logbestandarchieven naartoe wilt
  • $mailMsgServer – Stel in op een geldige SMTP-server
  • $mailMsgFrom – Stel in op een geldig VAN-e-mailadres
  • $MailMsgTo – Stel in op een geldig TO-e-mailadres

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"

# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250

# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting. .."-ForegroundColor Red
Exit
}

# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"

# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}

# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host

# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-"+ (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently "+ $SizeCurrentMB + "MB. The maximum allowable size is "+ $SizeMaximumMB + "MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Als je wilt, kun je een XML-bestand gebruiken om het script zo in te stellen dat het elk uur wordt uitgevoerd. Sla hiervoor de volgende code op in een XML-bestand en importeer deze vervolgens in Taakplanner. Zorg ervoor dat u de sectie <Argumenten> wijzigt in de map-/bestandsnaam waarin u het script hebt opgeslagen.

<?xml version="1.0"encoding="UTF-16"?>
<Task version="1.3"xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>

Zodra u het archiveren van de logboeken hebt ingeschakeld of geconfigureerd, worden de oudste logboeken opgeslagen en niet overschreven door nieuwere logboeken. Dus nu zal Windows het logboek archiveren wanneer de maximale logboekgrootte is bereikt en opslaan in de map (indien niet de standaard) die u hebt opgegeven. Het gearchiveerde bestand krijgt de naam Archief-<Sectie>-<Datum/Tijd>-indeling, bijvoorbeeld Archief-Beveiliging-2023-02-14-18-05-34. Het gearchiveerde bestand kan nu worden gebruikt om oudere gebeurtenissen op te sporen.

3] Wis het beveiligingslogboek handmatig

Wis het beveiligingslogboek handmatig

Als u het bewaarbeleid hebt ingesteld op Gebeurtenissen niet overschrijven (logboeken handmatig wissen), moet u het beveiligingslogboek handmatig wissen met een van de volgende methoden.

  • Gebeurtenisviewer
  • WEVTUTIL.exe hulpprogramma
  • Batch bestand

Dat is het!

Welke gebeurtenis-ID is malware gedetecteerd?

Het Windows-beveiligingsgebeurtenislogboek ID 4688 geeft aan dat er malware op het systeem is gedetecteerd. Als er bijvoorbeeld malware op uw Windows-systeem aanwezig is, zal zoekgebeurtenis 4688 alle processen onthullen die door dat slechtbedoelde programma worden uitgevoerd. Met die informatie kunt u een snelle scan uitvoeren, een Windows Defender-scan plannen of een Defender Offline-scan uitvoeren.

Wat is de beveiligings-ID voor de aanmeldingsgebeurtenis?

In Event Viewer wordt gebeurtenis-ID 4624 geregistreerd bij elke geslaagde poging om in te loggen op een lokale computer. Deze gebeurtenis wordt gegenereerd op de computer waartoe toegang is verkregen, met andere woorden, waar de aanmeldingssessie is gemaakt. De gebeurtenis Aanmeldingstype 11: CachedInteractive geeft aan dat een gebruiker zich op een computer heeft aangemeld met netwerkreferenties die lokaal op de computer zijn opgeslagen. Er is geen contact opgenomen met de domeincontroller om de referenties te verifiëren.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *