سجل الأمان ممتلئ الآن (معرف الحدث 1104)

في عارض الأحداث ، الأخطاء التي تم تسجيلها شائعة ، وستصادف أخطاء مختلفة بمعرفات أحداث مختلفة. عادةً ما تكون الأحداث التي يتم تسجيلها في سجلات الأمان إما من الكلمة الأساسية نجاح التدقيق أو فشل التدقيق . في هذا المنشور ، سوف نناقش سجل الأمان ممتلئ الآن (معرف الحدث 1104) بما في ذلك سبب تشغيل هذا الحدث والإجراءات التي يمكنك تنفيذها في هذه الحالة سواء على جهاز العميل أو الخادم.

طقم الطوارئ emsisoft المحمولة

كما يشير وصف الحدث ، يتم إنشاء هذا الحدث في كل مرة يمتلئ فيها سجل أمان Windows. على سبيل المثال ، إذا تم الوصول إلى الحد الأقصى لحجم ملف سجل أحداث الأمان وكانت طريقة الاحتفاظ بسجل الأحداث هي لا تستبدل الأحداث (امسح السجلات يدويًا) كما هو موضح في هذا وثائق Microsoft . فيما يلي الخيارات الموجودة في إعدادات سجل أحداث الأمان:

• استبدل الأحداث حسب الحاجة (الأحداث الأقدم أولاً) - هذا هو الإعداد الافتراضي. بمجرد الوصول إلى الحد الأقصى لحجم السجل ، سيتم حذف العناصر القديمة لإفساح المجال لعناصر جديدة.
• أرشفة السجل عندما يكون ممتلئًا ، ولا تقم بالكتابة فوق الأحداث - إذا حددت هذا الخيار ، فسيقوم Windows تلقائيًا بحفظ السجل عند الوصول إلى الحد الأقصى لحجم السجل وإنشاء سجل جديد. سيتم أرشفة السجل في أي مكان يتم فيه تخزين سجل الأمان. بشكل افتراضي ، سيكون هذا في الموقع التالي ٪ SystemRoot٪ \ SYSTEM32 \ WINEVT \ LOGS . يمكنك عرض خصائص عارض أحداث تسجيل الدخول لتحديد الموقع الدقيق.
• لا تستبدل الأحداث (امسح السجلات يدويًا) - إذا حددت هذا الخيار ووصل سجل الأحداث إلى الحد الأقصى للحجم ، فلن تتم كتابة أي أحداث أخرى حتى يتم مسح السجل يدويًا.

للتحقق من إعدادات سجل أحداث الأمان أو تعديلها ، فإن أول شيء قد ترغب في تغييره هو ملف الحد الأقصى لحجم السجل (كيلوبايت) - الحد الأقصى لحجم ملف السجل هو 20 ميغا بايت (20480 كيلو بايت). أبعد من ذلك ، حدد سياسة الاحتفاظ الخاصة بك كما هو موضح أعلاه.

سجل الأمان ممتلئ الآن (معرف الحدث 1104)

عند بلوغ الحد الأعلى لحجم ملف حدث سجل الأمان ، ولا يوجد مجال لتسجيل المزيد من الأحداث ، فإن ملف معرف الحدث 1104: سجل الأمان ممتلئ الآن سيتم تسجيله للإشارة إلى أن ملف السجل ممتلئ ، وتحتاج إلى تنفيذ أي من الإجراءات الفورية التالية.

1. تمكين الكتابة فوق السجل في عارض الأحداث
2. أرشفة سجل أحداث أمان Windows
3. امسح سجل الأمان يدويًا

دعونا نرى هذه الإجراءات الموصى بها بالتفصيل.

1] تمكين الكتابة فوق السجل في عارض الأحداث

بشكل افتراضي ، يتم تكوين سجل الأمان لاستبدال الأحداث حسب الحاجة. عند تشغيل خيار سجلات الكتابة ، سيسمح ذلك لعارض الأحداث بالكتابة فوق السجلات القديمة ، مما يؤدي بدوره إلى حفظ الذاكرة من الامتلاء. لذلك ، تحتاج إلى التأكد من تمكين هذا الخيار باتباع الخطوات التالية:

• اضغط على مفتاح Windows + R. لاستدعاء مربع حوار التشغيل.
• في مربع الحوار 'تشغيل' ، اكتب إيفينفور واضغط على Enter لفتح عارض الأحداث.
• يوسع سجلات Windows .
• انقر حماية .
• في الجزء الأيمن ، أسفل ملف أجراءات القائمة ، حدد ملكيات . بدلاً من ذلك ، انقر بزر الماوس الأيمن فوق ملف سجل الأمان في جزء التنقل الأيمن وحدد ملكيات .
• الآن ، تحت عند بلوغ الحد الأقصى لحجم سجل الأحداث ، حدد زر الاختيار للملف استبدل الأحداث حسب الحاجة (الأحداث الأقدم أولاً) خيار.
• انقر يتقدم > نعم .

يقرأ : كيفية عرض سجلات الأحداث في Windows بالتفصيل

2] أرشفة سجل أحداث أمان Windows

في بيئة واعية للأمان (خاصة في مؤسسة / مؤسسة) ، قد يكون من الضروري أو المفوض أرشفة سجل أحداث أمان Windows. يمكن القيام بذلك عبر عارض الأحداث كما هو موضح أعلاه عن طريق تحديد أرشفة السجل عندما يكون ممتلئًا ، ولا تقم بالكتابة فوق الأحداث الخيار ، أو عن طريق إنشاء برنامج نصي PowerShell وتشغيله باستخدام الكود أدناه. سيتحقق البرنامج النصي PowerShell من حجم سجل أحداث الأمان وأرشفته إذا لزم الأمر. الخطوات التي يقوم بها البرنامج النصي هي كما يلي:

استنزاف بطارية windows 10

• إذا كان سجل أحداث الأمان أقل من 250 ميغا بايت ، تتم كتابة حدث إعلامي في سجل أحداث التطبيق
• إذا كان السجل يزيد عن 250 ميغا بايت
  • يتم أرشفة السجل إلى D: \ Logs \ OS.
  • إذا فشلت عملية الأرشفة ، تتم كتابة حدث خطأ في سجل أحداث التطبيق ويتم إرسال بريد إلكتروني.
  • إذا نجحت عملية الأرشفة ، تتم كتابة حدث إعلامي في سجل أحداث التطبيق ويتم إرسال بريد إلكتروني.

قبل استخدام البرنامج النصي في بيئتك ، قم بتكوين المتغيرات التالية:

كيفية ضبط توقيت الترجمة في vlc

• $ ArchiveSize - اضبط على حد حجم السجل المطلوب (ميغابايت)
• $ ArchiveFolder - اضبط المسار الحالي حيث تريد أن تذهب أرشيفات ملف السجل
• $ mailMsgServer - تعيين لخادم SMTP صالح
• $ mailMsgFrom - تعيين إلى عنوان بريد إلكتروني صالح
• $ MailMsgTo - تعيين إلى عنوان البريد الإلكتروني TO صالح

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

يقرأ : كيفية جدولة برنامج PowerShell النصي في برنامج جدولة المهام

إذا أردت ، يمكنك استخدام ملف XML لتعيين البرنامج النصي للتشغيل كل ساعة. لهذا ، احفظ التعليمات البرمجية التالية في ملف XML ثم استيراده إلى برنامج جدولة المهام . تأكد من تغيير ملف <الوسائط> المقطع إلى اسم المجلد / الملف حيث قمت بحفظ البرنامج النصي.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

يقرأ: يحتوي XML للمهمة على قيمة متصلة بشكل غير صحيح أو خارج النطاق

بمجرد قيامك بتمكين أرشفة السجلات أو تكوينها ، سيتم حفظ أقدم السجلات ولن يتم استبدالها بالسجلات الأحدث. حتى الآن فصاعدًا ، سيقوم Windows بأرشفة السجل عند الوصول إلى الحد الأقصى لحجم السجل وحفظه في الدليل (إن لم يكن الافتراضي) الذي حددته. سيتم تسمية الملف المؤرشف بتنسيق أرشفة- <القسم> - <التاريخ / الوقت> التنسيق ، على سبيل المثال ، أرشيف-الأمن-2023-02-14-18-05-34 . يمكن الآن استخدام الملف المؤرشف لتتبع الأحداث القديمة.

يقرأ : اقرأ سجل أحداث Windows Defender باستخدام WinDefLogView

3] امسح سجل الأمان يدويًا

إذا قمت بتعيين سياسة الاحتفاظ على لا تستبدل الأحداث (امسح السجلات يدويًا) ، سوف تحتاج إلى امسح سجل الأمان يدويًا باستخدام أي من الطرق التالية.

• عارض الأحداث
• الأداة المساعدة WEVTUTIL.exe
• ملف دفعي

هذا كل شيء!

سناب شات على بلوستاكس لا يعمل

اقرأ الآن : الأحداث المفقودة في سجل الأحداث

ما هو معرف الحدث الذي تم اكتشاف البرامج الضارة؟

يشير معرف سجل أحداث أمان Windows 4688 إلى أنه تم اكتشاف برامج ضارة على النظام. على سبيل المثال ، إذا كانت هناك برامج ضارة موجودة على نظام Windows الخاص بك ، فإن حدث البحث 4688 سيكشف عن أي عمليات يتم تنفيذها بواسطة هذا البرنامج ذي النوايا السيئة. باستخدام هذه المعلومات ، يمكنك إجراء مسح سريع ، جدولة فحص Windows Defender ، أو قم بتشغيل فحص Defender Offline .

ما هو معرف الأمان لحدث تسجيل الدخول؟

في عارض الأحداث ، فإن ملف معرف الحدث 4624 سيتم تسجيل الدخول في كل محاولة ناجحة لتسجيل الدخول إلى جهاز كمبيوتر محلي. يتم إنشاء هذا الحدث على الكمبيوتر الذي تم الوصول إليه ، بمعنى آخر ، حيث تم إنشاء جلسة تسجيل الدخول. الحدث نوع تسجيل الدخول 11: CachedInteractive يشير إلى مستخدم قام بتسجيل الدخول إلى جهاز كمبيوتر باستخدام بيانات اعتماد الشبكة التي تم تخزينها محليًا على الكمبيوتر. لم يتم الاتصال بوحدة تحكم المجال للتحقق من بيانات الاعتماد.

يقرأ : لم يتم بدء تشغيل خدمة سجل أحداث Windows أو أنها غير متوفرة .