El registro de seguridad ahora está lleno (Id. de evento 1104)

El Registro De Seguridad Ahora Esta Lleno Id De Evento 1104



En el Visor de eventos, los errores registrados son comunes y encontrará diferentes errores con diferentes ID de eventos. Los eventos que se registran en los registros de seguridad generalmente serán de la palabra clave Auditoría exitosa o auditoría fallida . En esta publicación, discutiremos El registro de seguridad ahora está lleno (Id. de evento 1104) incluyendo por qué se activa este evento y las acciones que puede realizar en esta situación, ya sea en una máquina cliente o servidor.



El registro de seguridad ahora está lleno (Id. de evento 1104)



Como indica la descripción del evento, este evento se genera cada vez que el registro de seguridad de Windows se llena. Por ejemplo, si se alcanzó el tamaño máximo del archivo de registro de eventos de seguridad y el método de retención del registro de eventos es No sobrescribir eventos (Borrar registros manualmente) como se describe en este Documentación de Microsoft . Las siguientes son las opciones en la configuración del registro de eventos de seguridad:



dirección falsa
  • Sobrescriba los eventos según sea necesario (primero los eventos más antiguos) – Esta es la configuración predeterminada. Una vez que se alcance el tamaño máximo de registro, los elementos más antiguos se eliminarán para dejar paso a los nuevos.
  • Archive el registro cuando esté lleno, no sobrescriba los eventos – Si selecciona esta opción, Windows guardará automáticamente el registro cuando se alcance el tamaño máximo de registro y creará uno nuevo. El registro se archivará donde se almacene el registro de seguridad. Por defecto, estará en la siguiente ubicación %SystemRoot%\SYSTEM32\WINEVT\LOGS . Puede ver las propiedades del Visor de eventos de inicio de sesión para determinar la ubicación exacta.
  • No sobrescribir eventos (Borrar registros manualmente) – Si selecciona esta opción y el registro de eventos alcanza el tamaño máximo, no se escribirán más eventos hasta que el registro se borre manualmente.

Para comprobar o modificar la configuración del registro de eventos de seguridad, lo primero que querrá cambiar sería el Tamaño máximo de registro (KB) – el tamaño máximo del archivo de registro es de 20 MB (20480 KB). Más allá de eso, decida su política de retención según lo descrito anteriormente.



El registro de seguridad ahora está lleno (Id. de evento 1104)

Cuando se alcanza el límite superior del tamaño del archivo de eventos del registro de seguridad y no hay espacio para registrar más eventos, el Id. de evento 1104: el registro de seguridad ahora está lleno se registrará indicando que el archivo de registro está lleno y debe realizar cualquiera de las siguientes acciones inmediatas.

  1. Habilitar la sobrescritura de registros en el Visor de eventos
  2. Archivar el registro de eventos de seguridad de Windows
  3. Borrar manualmente el registro de seguridad

Veamos estas acciones recomendadas en detalle.

1] Habilitar la sobrescritura de registros en el Visor de eventos

Habilitar la sobrescritura de registros en el Visor de eventos



De manera predeterminada, el registro de seguridad está configurado para sobrescribir eventos según sea necesario. Cuando activa la opción de sobrescribir registros, esto permitirá que el Visor de eventos sobrescriba los registros antiguos, evitando que la memoria se llene. Por lo tanto, debe asegurarse de que esta opción esté habilitada siguiendo estos pasos:

  • presione el Tecla de Windows + R para invocar el cuadro de diálogo Ejecutar.
  • En el cuadro de diálogo Ejecutar, escriba eventovwr y presione Entrar para abrir el Visor de eventos.
  • Expandir Registros de Windows .
  • Hacer clic Seguridad .
  • En el panel derecho, debajo del Comportamiento menú, seleccione Propiedades . Alternativamente, haga clic derecho en el registro de seguridad en el panel de navegación izquierdo y seleccione Propiedades .
  • Ahora, bajo el Cuando se alcanza el tamaño máximo del registro de eventos sección, seleccione el botón de radio para el Sobrescriba los eventos según sea necesario (primero los eventos más antiguos) opción.
  • Hacer clic Aplicar > DE ACUERDO .

Leer : Cómo ver los registros de eventos en Windows en detalle

código de error de microsoft 0x426-0x0

2] Archivar el registro de eventos de seguridad de Windows

En un entorno consciente de la seguridad (especialmente en una empresa/organización), puede ser necesario u obligatorio archivar el registro de eventos de seguridad de Windows. Esto se puede hacer a través del Visor de eventos como se muestra arriba seleccionando el Archive el registro cuando esté lleno, no sobrescriba los eventos opción, o por crear y ejecutar un script de PowerShell usando el código de abajo. El script de PowerShell verificará el tamaño del registro de eventos de seguridad y lo archivará si es necesario. Los pasos que realiza el script son los siguientes:

  • Si el registro de eventos de seguridad tiene menos de 250 MB, se escribe un evento informativo en el registro de eventos de la aplicación.
  • Si el registro tiene más de 250 MB
    • El registro se archiva en D:\Logs\OS.
    • Si la operación de archivado falla, se escribe un evento de error en el registro de eventos de la aplicación y se envía un correo electrónico.
    • Si la operación de archivo tiene éxito, se escribe un evento informativo en el registro de eventos de la aplicación y se envía un correo electrónico.

Antes de utilizar el script en su entorno, configure las siguientes variables:

  • $ArchiveSize: establezca el límite de tamaño de registro deseado (MB)
  • $ArchiveFolder: establece una ruta existente donde desea que vayan los archivos de registro
  • $mailMsgServer: establecido en un servidor SMTP válido
  • $mailMsgFrom – Establecido en una dirección de correo electrónico DE válida
  • $MailMsgTo: establecer una dirección de correo electrónico TO válida
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

Leer : Cómo programar el script de PowerShell en el Programador de tareas

Si lo desea, puede usar un archivo XML para configurar el script para que se ejecute cada hora. Para esto, guarde el siguiente código en un archivo XML y luego importarlo en el Programador de tareas . Asegúrese de cambiar el sección al nombre de la carpeta/archivo donde guardó el script.

cómo guardar archivos adjuntos en el ipad 
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

Leer: El XML de la tarea contiene un valor que está conectado incorrectamente o fuera de rango

Una vez que haya habilitado o configurado el archivado de registros, los registros más antiguos se guardarán y no se sobrescribirán con registros más nuevos. De ahora en adelante, Windows archivará el registro cuando se alcance el tamaño máximo de registro y lo guardará en el directorio (si no es el predeterminado) que haya especificado. El archivo archivado se nombrará en Archivo-- formato, por ejemplo, Archivo-Seguridad-2023-02-14-18-05-34 . El archivo archivado ahora se puede usar para rastrear eventos más antiguos.

Leer : Leer el registro de eventos de Windows Defender usando WinDefLogView

3] Borrar manualmente el registro de seguridad

Borrar manualmente el registro de seguridad

Si ha establecido la política de retención en No sobrescribir eventos (Borrar registros manualmente) , necesitaras borrar manualmente el registro de seguridad usando cualquiera de los siguientes métodos.

  • Visor de eventos
  • Utilidad WEVTUTIL.exe
  • Archivo por lotes

¡Eso es todo!

Ahora lee : Eventos faltantes en el registro de eventos

Hubo problemas al instalar algunas actualizaciones, pero volveremos a intentarlo más tarde.

¿Qué ID de evento es el malware detectado?

El ID de registro de eventos de seguridad de Windows 4688 indica que se ha detectado malware en el sistema. Por ejemplo, si hay malware presente en su sistema Windows, la búsqueda del evento 4688 revelará cualquier proceso ejecutado por ese programa mal intencionado. Con esa información, puede realizar un escaneo rápido, programar un análisis de Windows Defender , o ejecutar un análisis sin conexión de Defender .

¿Cuál es el ID de seguridad para el evento de inicio de sesión?

En el Visor de eventos, el Identificador de evento 4624 se registrará en cada intento exitoso de iniciar sesión en una computadora local. Este evento se genera en el equipo al que se accedió, es decir, donde se creó la sesión de inicio de sesión. El evento Tipo de inicio de sesión 11: CachedInteractive indica que un usuario inició sesión en una computadora con credenciales de red que se almacenaron localmente en la computadora. No se contactó con el controlador de dominio para verificar las credenciales.

Leer : El servicio de registro de eventos de Windows no se inicia o no está disponible .

Categoría
Registros de eventos
Recomendado
Cómo hacer que el cursor del mouse parpadeante sea más grueso en Windows
Cómo hacer que el cursor del mouse parpadeante sea más grueso en Windows
Ventanas
Cómo cambiar el color de la fuente del escritorio en Windows 10
Cómo cambiar el color de la fuente del escritorio en Windows 10
Ventanas
Ha ingresado un PIN incorrecto demasiadas veces en Windows 11
Ha ingresado un PIN incorrecto demasiadas veces en Windows 11
ALFILER
Cómo abrir el símbolo del sistema desde el administrador de tareas usando la tecla CTRL
Cómo abrir el símbolo del sistema desde el administrador de tareas usando la tecla CTRL
Ventanas
Entradas Populares
Acerca De Nosotros
Prankmike Proporciona Consejos, Directrices, Instrucciones Para Windows 10, Las Funciones Y El Software Libre.
Categorías
Mas Visto
Copyright © 2024Todos Los Derechos Reservados | prankmike.com | Política De Privacidad