이벤트 뷰어에서 기록되는 오류는 일반적이며 이벤트 ID가 다른 여러 오류가 발생합니다. 보안 로그에 기록되는 이벤트는 일반적으로 다음 키워드 중 하나입니다. 감사 성공 또는 감사 실패 . 이번 포스트에서 다룰 내용은 이제 보안 로그가 가득 찼습니다(이벤트 ID 1104). 이 이벤트가 트리거된 이유와 클라이언트 또는 서버 시스템에서 이 상황에서 수행할 수 있는 작업을 포함합니다.
이벤트 설명에서 알 수 있듯이 이 이벤트는 Windows 보안 로그가 가득 찰 때마다 생성됩니다. 예를 들어 보안 이벤트 로그 파일의 최대 크기에 도달했고 이벤트 로그 보존 방법이 이벤트를 덮어쓰지 않음(수동으로 로그 지우기) 이것에 설명 된대로 마이크로소프트 문서 . 다음은 보안 이벤트 로그 설정의 옵션입니다.
- 필요에 따라 이벤트 덮어쓰기(오래된 이벤트 먼저) – 기본 설정입니다. 최대 로그 크기에 도달하면 새 항목을 위해 이전 항목이 삭제됩니다.
- 가득 차면 로그를 보관하고 이벤트를 덮어쓰지 마십시오. – 이 옵션을 선택하면 최대 로그 크기에 도달하면 Windows가 자동으로 로그를 저장하고 새 로그를 생성합니다. 로그는 보안 로그가 저장되는 모든 위치에 보관됩니다. 기본적으로 다음 위치에 있습니다. %SystemRoot%\SYSTEM32\WINEVT\LOGS . 로그인 이벤트 뷰어의 속성을 보고 정확한 위치를 확인할 수 있습니다.
- 이벤트를 덮어쓰지 않음(수동으로 로그 지우기) – 이 옵션을 선택하고 이벤트 로그가 최대 크기에 도달하면 로그를 수동으로 지울 때까지 더 이상 이벤트가 기록되지 않습니다.
보안 이벤트 로그 설정을 확인하거나 수정하기 위해 가장 먼저 변경해야 할 사항은 최대 로그 크기(KB) – 최대 로그 파일 크기는 20MB(20480KB)입니다. 그 외에도 위에서 설명한 대로 보존 정책을 결정하십시오.
이제 보안 로그가 가득 찼습니다(이벤트 ID 1104).
보안 로그 이벤트 파일 크기의 상한에 도달하고 더 이상 이벤트를 기록할 공간이 없으면 이벤트 ID 1104: 보안 로그가 가득 찼습니다. 로그 파일이 꽉 찼음을 나타내는 메시지가 기록되며 다음과 같은 즉각적인 조치를 수행해야 합니다.
독수리 다운로드 관리자
- 이벤트 뷰어에서 로그 덮어쓰기 활성화
- Windows 보안 이벤트 로그 보관
- 보안 로그를 수동으로 지우기
이러한 권장 조치를 자세히 살펴보겠습니다.
1] 이벤트 뷰어에서 로그 덮어쓰기 활성화
기본적으로 보안 로그는 필요에 따라 이벤트를 덮어쓰도록 구성됩니다. 로그 덮어쓰기 옵션을 켜면 이벤트 뷰어가 이전 로그를 덮어쓸 수 있으므로 메모리가 가득 차는 것을 방지할 수 있습니다. 따라서 다음 단계에 따라 이 옵션이 활성화되어 있는지 확인해야 합니다.
- 누르세요 윈도우 키 + R 실행 대화 상자를 호출합니다.
- 실행 대화 상자에서 다음을 입력하십시오. 이벤트 Enter 키를 눌러 이벤트 뷰어를 엽니다.
- 확장하다 Windows 로그 .
- 딸깍 하는 소리 보안 .
- 오른쪽 창에서 행위 메뉴, 선택 속성 . 또는 보안 로그 왼쪽 탐색 창에서 속성 .
- 이제 아래에서 최대 이벤트 로그 크기에 도달한 경우 섹션에서 해당 라디오 버튼을 선택합니다. 필요에 따라 이벤트 덮어쓰기(오래된 이벤트 먼저) 옵션.
- 딸깍 하는 소리 적용하다 > 좋아요 .
읽다 : Windows에서 이벤트 로그를 자세히 보는 방법
2] Windows 보안 이벤트 로그 보관
보안에 민감한 환경(특히 기업/조직)에서는 Windows 보안 이벤트 로그를 보관하는 것이 필요하거나 의무적일 수 있습니다. 이 작업은 위에 표시된 대로 이벤트 뷰어를 통해 수행할 수 있습니다. 가득 차면 로그를 보관하고 이벤트를 덮어쓰지 마십시오. 옵션 또는 PowerShell 스크립트 생성 및 실행 아래 코드를 사용하여. PowerShell 스크립트는 보안 이벤트 로그의 크기를 확인하고 필요한 경우 보관합니다. 스크립트에서 수행하는 단계는 다음과 같습니다.
- 보안 이벤트 로그가 250MB 미만이면 응용 프로그램 이벤트 로그에 정보 이벤트가 기록됩니다.
- 로그가 250MB를 초과하는 경우
- 로그는 D:\Logs\OS에 보관됩니다.
- 보관 작업이 실패하면 응용 프로그램 이벤트 로그에 오류 이벤트가 기록되고 전자 메일이 전송됩니다.
- 보관 작업이 성공하면 응용 프로그램 이벤트 로그에 정보 이벤트가 기록되고 전자 메일이 전송됩니다.
사용자 환경에서 스크립트를 사용하기 전에 다음 변수를 구성하십시오.
- $ArchiveSize – 원하는 로그 크기 제한(MB)으로 설정
- $ArchiveFolder – 로그 파일 아카이브를 저장할 기존 경로로 설정
- $mailMsgServer – 유효한 SMTP 서버로 설정
- $mailMsgFrom – 유효한 발신자 이메일 주소로 설정
- $MailMsgTo – 유효한 TO 이메일 주소로 설정
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()읽다 : 작업 스케줄러에서 PowerShell 스크립트를 예약하는 방법
원하는 경우 XML 파일을 사용하여 스크립트가 매시간 실행되도록 설정할 수 있습니다. 이를 위해 다음 코드를 XML 파일에 저장한 다음 작업 스케줄러로 가져오기 . 를 변경하십시오. <인수> 스크립트를 저장한 폴더/파일 이름 섹션.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>읽다: 작업 XML에 잘못 연결되었거나 범위를 벗어난 값이 포함되어 있습니다.
로그 보관을 활성화하거나 구성하면 가장 오래된 로그가 저장되고 최신 로그로 덮어쓰지 않습니다. 이제 Windows는 최대 로그 크기에 도달하면 로그를 보관하고 지정한 디렉터리(기본값이 아닌 경우)에 저장합니다. 보관된 파일의 이름은 아카이브-<섹션>-<날짜/시간> 형식, 예를 들어 아카이브 보안-2023-02-14-18-05-34 . 이제 보관된 파일을 사용하여 이전 이벤트를 추적할 수 있습니다.
읽다 : WinDefLogView를 사용하여 Windows Defender 이벤트 로그 읽기
3] 보안 로그를 수동으로 지우기
보존 정책을 다음으로 설정한 경우 이벤트를 덮어쓰지 않음(수동으로 로그 지우기) , 다음을 수행해야 합니다. 수동으로 보안 로그 지우기 다음 방법 중 하나를 사용합니다.
- 이벤트 뷰어
- WEVTUTIL.exe 유틸리티
- 배치 파일
그게 다야!
이제 읽기 : 이벤트 로그에 누락된 이벤트
맬웨어가 감지된 이벤트 ID는 무엇입니까?
Windows 보안 이벤트 로그 ID 4688은 시스템에서 맬웨어가 감지되었음을 나타냅니다. 예를 들어, Windows 시스템에 맬웨어가 있는 경우 이벤트 4688을 검색하면 악의적인 프로그램이 실행한 모든 프로세스가 드러납니다. 해당 정보를 사용하여 빠른 스캔을 수행할 수 있습니다. Windows Defender 검사 예약 , 또는 Defender 오프라인 검사 실행 .
로그온 이벤트의 보안 ID는 무엇입니까?
이벤트 뷰어에서 이벤트 ID 4624 로컬 컴퓨터에 성공적으로 로그온하려고 시도할 때마다 로그온됩니다. 이 이벤트는 액세스한 컴퓨터, 즉 로그온 세션이 만들어진 컴퓨터에서 생성됩니다. 이벤트 로그온 유형 11: CachedInteractive 컴퓨터에 로컬로 저장된 네트워크 자격 증명을 사용하여 컴퓨터에 로그온한 사용자를 나타냅니다. 자격 증명을 확인하기 위해 도메인 컨트롤러에 연결되지 않았습니다.
읽다 : Windows 이벤트 로그 서비스가 시작되지 않거나 사용할 수 없습니다. .
