ఈవెంట్ వ్యూయర్లో, లాగిన్ చేసిన లోపాలు సర్వసాధారణం మరియు మీరు వేర్వేరు ఈవెంట్ IDలతో విభిన్న ఎర్రర్లను చూస్తారు. భద్రతా లాగ్లలో రికార్డ్ చేయబడిన ఈవెంట్లు సాధారణంగా కీవర్డ్లో ఒకటిగా ఉంటాయి ఆడిట్ విజయం లేదా ఆడిట్ వైఫల్యం . ఈ పోస్ట్లో, మేము చర్చిస్తాము భద్రతా లాగ్ ఇప్పుడు నిండింది (ఈవెంట్ ID 1104) ఈ ఈవెంట్ ఎందుకు ట్రిగ్గర్ చేయబడింది మరియు క్లయింట్ లేదా సర్వర్ మెషీన్లో మీరు ఈ పరిస్థితిలో చేయగలిగే చర్యలతో సహా.
ఈవెంట్ వివరణ సూచించినట్లుగా, Windows సెక్యూరిటీ లాగ్ నిండిన ప్రతిసారీ ఈ ఈవెంట్ జనరేట్ అవుతుంది. ఉదాహరణకు, సెక్యూరిటీ ఈవెంట్ లాగ్ ఫైల్ గరిష్ట పరిమాణాన్ని చేరుకున్నట్లయితే మరియు ఈవెంట్ లాగ్ నిలుపుదల పద్ధతి ఈవెంట్లను ఓవర్రైట్ చేయవద్దు (లాగ్లను మాన్యువల్గా క్లియర్ చేయండి) ఇందులో వివరించినట్లు Microsoft డాక్యుమెంటేషన్ . భద్రతా ఈవెంట్ లాగ్ సెట్టింగ్లలో ఈ క్రింది ఎంపికలు ఉన్నాయి:
- అవసరమైన విధంగా ఈవెంట్లను ఓవర్రైట్ చేయండి (మొదట పురాతన ఈవెంట్లు) - ఇది డిఫాల్ట్ సెట్టింగ్. గరిష్ట లాగ్ పరిమాణాన్ని చేరుకున్న తర్వాత, కొత్త ఐటెమ్ల కోసం పాత అంశాలు తొలగించబడతాయి.
- లాగ్ నిండినప్పుడు ఆర్కైవ్ చేయండి, ఈవెంట్లను ఓవర్రైట్ చేయవద్దు – మీరు ఈ ఎంపికను ఎంచుకుంటే, గరిష్ట లాగ్ పరిమాణాన్ని చేరుకున్నప్పుడు Windows స్వయంచాలకంగా లాగ్ను సేవ్ చేస్తుంది మరియు కొత్తదాన్ని సృష్టిస్తుంది. భద్రతా లాగ్ ఎక్కడ నిల్వ చేయబడుతుందో అక్కడ లాగ్ ఆర్కైవ్ చేయబడుతుంది. డిఫాల్ట్గా, ఇది క్రింది స్థానంలో ఉంటుంది %SystemRoot%\SYSTEM32\WINEVT\LOGS . మీరు ఖచ్చితమైన లొకేషన్ను గుర్తించడానికి లాగ్-ఇన్ ఈవెంట్ వ్యూయర్ యొక్క లక్షణాలను వీక్షించవచ్చు.
- ఈవెంట్లను ఓవర్రైట్ చేయవద్దు (లాగ్లను మాన్యువల్గా క్లియర్ చేయండి) – మీరు ఈ ఎంపికను ఎంచుకుంటే మరియు ఈవెంట్ లాగ్ గరిష్ట పరిమాణానికి చేరుకున్నట్లయితే, లాగ్ మాన్యువల్గా క్లియర్ చేయబడే వరకు తదుపరి ఈవెంట్లు వ్రాయబడవు.
మీ భద్రతా ఈవెంట్ లాగ్ సెట్టింగ్లను తనిఖీ చేయడానికి లేదా సవరించడానికి, మీరు మార్చాలనుకునే మొదటి విషయం గరిష్ట లాగ్ పరిమాణం (KB) - గరిష్ట లాగ్ ఫైల్ పరిమాణం 20 MB (20480 KB). అంతకు మించి, పైన పేర్కొన్న విధంగా మీ నిలుపుదల విధానాన్ని నిర్ణయించండి.
భద్రతా లాగ్ ఇప్పుడు నిండింది (ఈవెంట్ ID 1104)
సెక్యూరిటీ లాగ్ ఈవెంట్ ఫైల్ పరిమాణం యొక్క ఎగువ పరిమితిని చేరుకున్నప్పుడు మరియు మరిన్ని ఈవెంట్లను లాగ్ చేయడానికి స్థలం లేనప్పుడు, ఈవెంట్ ID 1104: భద్రతా లాగ్ ఇప్పుడు నిండింది లాగ్ ఫైల్ నిండిపోయిందని సూచిస్తూ లాగ్ చేయబడుతుంది మరియు మీరు కింది తక్షణ చర్యలలో దేనినైనా చేయాల్సి ఉంటుంది.
విండోస్ 7 కోసం 11 ఆఫ్లైన్ ఇన్స్టాలర్
- ఈవెంట్ వ్యూయర్లో లాగ్ ఓవర్రైటింగ్ను ప్రారంభించండి
- విండోస్ సెక్యూరిటీ ఈవెంట్ లాగ్ను ఆర్కైవ్ చేయండి
- భద్రతా లాగ్ను మాన్యువల్గా క్లియర్ చేయండి
ఈ సిఫార్సు చేసిన చర్యలను వివరంగా చూద్దాం.
1] ఈవెంట్ వ్యూయర్లో లాగ్ ఓవర్రైటింగ్ని ప్రారంభించండి
డిఫాల్ట్గా, భద్రతా లాగ్ అవసరమైన విధంగా ఈవెంట్లను ఓవర్రైట్ చేయడానికి కాన్ఫిగర్ చేయబడింది. మీరు ఓవర్రైటింగ్ లాగ్ల ఎంపికను ఆన్ చేసినప్పుడు, ఇది ఈవెంట్ వ్యూయర్ని పాత లాగ్లను ఓవర్రైట్ చేయడానికి అనుమతిస్తుంది, తద్వారా మెమరీని పూర్తి చేయకుండా సేవ్ చేస్తుంది. కాబట్టి, మీరు ఈ దశలను అనుసరించడం ద్వారా ఈ ఎంపిక ప్రారంభించబడిందని నిర్ధారించుకోవాలి:
- నొక్కండి విండోస్ కీ + ఆర్ రన్ డైలాగ్ను అమలు చేయడానికి.
- రన్ డైలాగ్ బాక్స్లో, టైప్ చేయండి ఈవెంట్vwr ఈవెంట్ వ్యూయర్ని తెరవడానికి ఎంటర్ నొక్కండి.
- విస్తరించు Windows లాగ్లు .
- క్లిక్ చేయండి భద్రత .
- కుడి పేన్లో, కింద చర్యలు మెను, ఎంచుకోండి లక్షణాలు . ప్రత్యామ్నాయంగా, దానిపై కుడి క్లిక్ చేయండి భద్రతా లాగ్ ఎడమ నావిగేషన్ పేన్లో మరియు ఎంచుకోండి లక్షణాలు .
- ఇప్పుడు, కింద గరిష్ట ఈవెంట్ లాగ్ పరిమాణాన్ని చేరుకున్నప్పుడు విభాగం, కోసం రేడియో బటన్ను ఎంచుకోండి అవసరమైన విధంగా ఈవెంట్లను ఓవర్రైట్ చేయండి (మొదట పురాతన ఈవెంట్లు) ఎంపిక.
- క్లిక్ చేయండి దరఖాస్తు చేసుకోండి > అలాగే .
చదవండి : విండోస్లో ఈవెంట్ లాగ్లను ఎలా వివరంగా చూడాలి
2] Windows సెక్యూరిటీ ఈవెంట్ లాగ్ను ఆర్కైవ్ చేయండి
భద్రతా స్పృహతో కూడిన వాతావరణంలో (ముఖ్యంగా ఒక సంస్థ/సంస్థలో), Windows భద్రతా ఈవెంట్ లాగ్ను ఆర్కైవ్ చేయడం అవసరం లేదా తప్పనిసరి కావచ్చు. దీన్ని ఎంచుకోవడం ద్వారా పైన చూపిన విధంగా ఈవెంట్ వ్యూయర్ ద్వారా చేయవచ్చు లాగ్ నిండినప్పుడు ఆర్కైవ్ చేయండి, ఈవెంట్లను ఓవర్రైట్ చేయవద్దు ఎంపిక, లేదా ద్వారా PowerShell స్క్రిప్ట్ను సృష్టించడం మరియు అమలు చేయడం దిగువ కోడ్ ఉపయోగించి. PowerShell స్క్రిప్ట్ భద్రతా ఈవెంట్ లాగ్ యొక్క పరిమాణాన్ని తనిఖీ చేస్తుంది మరియు అవసరమైతే దానిని ఆర్కైవ్ చేస్తుంది. స్క్రిప్ట్ ద్వారా అమలు చేయబడిన దశలు క్రింది విధంగా ఉన్నాయి:
- భద్రతా ఈవెంట్ లాగ్ 250 MB కంటే తక్కువ ఉంటే, అప్లికేషన్ ఈవెంట్ లాగ్కు సమాచార ఈవెంట్ వ్రాయబడుతుంది
- లాగ్ 250 MB కంటే ఎక్కువగా ఉంటే
- లాగ్ D:\Logs\OSకి ఆర్కైవ్ చేయబడింది.
- ఆర్కైవ్ ఆపరేషన్ విఫలమైతే, అప్లికేషన్ ఈవెంట్ లాగ్కు ఎర్రర్ ఈవెంట్ వ్రాయబడుతుంది మరియు ఇ-మెయిల్ పంపబడుతుంది.
- ఆర్కైవ్ ఆపరేషన్ విజయవంతమైతే, అప్లికేషన్ ఈవెంట్ లాగ్కు సమాచార ఈవెంట్ వ్రాయబడుతుంది మరియు ఇ-మెయిల్ పంపబడుతుంది.
మీ వాతావరణంలో స్క్రిప్ట్ను ఉపయోగించే ముందు, కింది వేరియబుల్స్ను కాన్ఫిగర్ చేయండి:
- $ArchiveSize – కావలసిన లాగ్ సైజు పరిమితి (MB)కి సెట్ చేయండి
- $ArchiveFolder – మీరు లాగ్ ఫైల్ ఆర్కైవ్లు వెళ్లాలనుకుంటున్న చోట ఇప్పటికే ఉన్న మార్గానికి సెట్ చేయండి
- $mailMsgServer – చెల్లుబాటు అయ్యే SMTP సర్వర్కి సెట్ చేయబడింది
- $mailMsgFrom – చెల్లుబాటు అయ్యే ఇ-మెయిల్ చిరునామా నుండి సెట్ చేయబడింది
- $MailMsgTo – చెల్లుబాటు అయ్యే TO ఇమెయిల్ చిరునామాకు సెట్ చేయబడింది
# Set the archive location $ArchiveFolder = "D:\Logs\OS" # How big can the security event log get in MB before we automatically archive? $ArchiveSize = 250 # Verify the archive folder exists If (!(Test-Path $ArchiveFolder)) { Write-Host Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red Exit } # Configure environment $sysName = $env:computername $eventName = "Security Event Log Monitoring" $mailMsgServer = "your.smtp.server.name" $mailMsgSubject = "$sysName Security Event Log Monitoring" $mailMsgFrom = "[email protected]" $mailMsgTo = "[email protected]" # Add event source to application log if necessary If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { New-EventLog -LogName Application -Source $eventName } # Check the security log $Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'" $SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2) $SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2) Write-Host # Archive the security log if over the limit If ($SizeCurrentMB -gt $ArchiveSize) { $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt" $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB." $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue If ($Results -eq 0) { # Successful backup of security event log $Results = ($Log.ClearEventlog()).ReturnValue $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } Else { $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!" Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0 $mailMsgBody = $EventMessage Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer } } Else { # Write an informational event to the application event log $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken." Write-Host $EventMessage Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0 } # Close the log $Log.Dispose()
చదవండి : టాస్క్ షెడ్యూలర్లో పవర్షెల్ స్క్రిప్ట్ను ఎలా షెడ్యూల్ చేయాలి
మీకు కావాలంటే, ప్రతి గంటకు స్క్రిప్ట్ని అమలు చేయడానికి సెట్ చేయడానికి మీరు XML ఫైల్ని ఉపయోగించవచ్చు. దీని కోసం, క్రింది కోడ్ను XML ఫైల్లో సేవ్ చేసి ఆపై దాన్ని టాస్క్ షెడ్యూలర్లోకి దిగుమతి చేయండి . మార్చాలని నిర్ధారించుకోండి <వాదనలు> మీరు స్క్రిప్ట్ను సేవ్ చేసిన ఫోల్డర్/ఫైల్ పేరుకు విభాగం.
<?xml version="1.0" encoding="UTF-16"?> <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2017-01-18T16:41:30.9576112</Date> <Description>Monitor security event log. Archive and clear log if threshold is met.</Description> </RegistrationInfo> <Triggers> <CalendarTrigger> <Repetition> <Interval>PT2H</Interval> <StopAtDurationEnd>false</StopAtDurationEnd> </Repetition> <StartBoundary>2017-01-18T00:00:00</StartBoundary> <ExecutionTimeLimit>PT30M</ExecutionTimeLimit> <Enabled>true</Enabled> <ScheduleByDay> <DaysInterval>1</DaysInterval> </ScheduleByDay> </CalendarTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>S-1-5-18</UserId> <RunLevel>HighestAvailable</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>true</AllowHardTerminate> <StartWhenAvailable>false</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession> <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>P3D</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command> <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments> </Exec> </Actions> </Task>
చదవండి: టాస్క్ XML తప్పుగా కనెక్ట్ చేయబడిన లేదా పరిధికి వెలుపల ఉన్న విలువను కలిగి ఉంది
మీరు లాగ్లను ఆర్కైవ్ చేయడాన్ని ప్రారంభించిన తర్వాత లేదా కాన్ఫిగర్ చేసిన తర్వాత, పురాతన లాగ్లు సేవ్ చేయబడతాయి మరియు కొత్త లాగ్లతో భర్తీ చేయబడవు. కాబట్టి ఇప్పుడు, Windows గరిష్ట లాగ్ పరిమాణాన్ని చేరుకున్నప్పుడు లాగ్ను ఆర్కైవ్ చేస్తుంది మరియు దానిని మీరు పేర్కొన్న డైరెక్టరీకి (డిఫాల్ట్ కాకపోతే) సేవ్ చేస్తుంది. ఆర్కైవ్ చేసిన ఫైల్ పేరు పెట్టబడుతుంది ఆర్కైవ్-<విభాగం>-<తేదీ/సమయం> ఫార్మాట్, ఉదాహరణకు, ఆర్కైవ్-సెక్యూరిటీ-2023-02-14-18-05-34 . పాత ఈవెంట్లను కనుగొనడానికి ఆర్కైవ్ చేసిన ఫైల్ ఇప్పుడు ఉపయోగించబడుతుంది.
చదవండి : WinDefLogViewని ఉపయోగించి విండోస్ డిఫెండర్ ఈవెంట్ లాగ్ను చదవండి
మైక్రోసాఫ్ట్ అంచు నేపథ్యంలో నడుస్తోంది
3] సెక్యూరిటీ లాగ్ను మాన్యువల్గా క్లియర్ చేయండి
మీరు నిలుపుదల విధానాన్ని సెట్ చేసి ఉంటే ఈవెంట్లను ఓవర్రైట్ చేయవద్దు (లాగ్లను మాన్యువల్గా క్లియర్ చేయండి) , మీరు అవసరం భద్రతా లాగ్ను మాన్యువల్గా క్లియర్ చేయండి కింది పద్ధతుల్లో ఏదైనా ఉపయోగించి.
- ఈవెంట్ వ్యూయర్
- WEVTUTIL.exe యుటిలిటీ
- బ్యాచ్ ఫైల్
అంతే!
ఇప్పుడు చదవండి : ఈవెంట్ లాగ్లో ఈవెంట్లు లేవు
మాల్వేర్ ఏ ఈవెంట్ ID కనుగొనబడింది?
Windows సెక్యూరిటీ ఈవెంట్ లాగ్ ID 4688 సిస్టమ్లో మాల్వేర్ కనుగొనబడిందని సూచిస్తుంది. ఉదాహరణకు, మీ Windows సిస్టమ్లో మాల్వేర్ ఉన్నట్లయితే, ఈవెంట్ 4688ని శోధించడం వలన ఆ దురద్దేశంతో కూడిన ప్రోగ్రామ్ ద్వారా అమలు చేయబడిన ఏవైనా ప్రక్రియలు కనిపిస్తాయి. ఆ సమాచారంతో, మీరు శీఘ్ర స్కాన్ చేయవచ్చు, విండోస్ డిఫెండర్ స్కాన్ షెడ్యూల్ చేయండి , లేదా డిఫెండర్ ఆఫ్లైన్ స్కాన్ను అమలు చేయండి .
లాగిన్ ఈవెంట్ కోసం భద్రతా ID ఏమిటి?
ఈవెంట్ వ్యూయర్లో, ది ఈవెంట్ ID 4624 స్థానిక కంప్యూటర్కు లాగిన్ చేయడంలో విజయవంతమైన ప్రతి ప్రయత్నంలో లాగిన్ చేయబడుతుంది. ఈ ఈవెంట్ యాక్సెస్ చేయబడిన కంప్యూటర్లో రూపొందించబడింది, ఇతర మాటలలో, లాగిన్ సెషన్ సృష్టించబడింది. సంఘటన లాగిన్ రకం 11: CachedInteractive కంప్యూటర్లో స్థానికంగా నిల్వ చేయబడిన నెట్వర్క్ ఆధారాలతో కంప్యూటర్కు లాగిన్ చేసిన వినియోగదారుని సూచిస్తుంది. ఆధారాలను ధృవీకరించడానికి డొమైన్ కంట్రోలర్ని సంప్రదించలేదు.
చదవండి : Windows ఈవెంట్ లాగ్ సర్వీస్ ప్రారంభం కాలేదు లేదా అందుబాటులో లేదు .