নিরাপত্তা লগ এখন পূর্ণ (ইভেন্ট আইডি 1104)

ইভেন্ট ভিউয়ারে, লগ করা ত্রুটিগুলি সাধারণ, এবং আপনি বিভিন্ন ইভেন্ট আইডি সহ বিভিন্ন ত্রুটির সম্মুখীন হবেন৷ নিরাপত্তা লগগুলিতে রেকর্ড করা ইভেন্টগুলি সাধারণত কীওয়ার্ডগুলির মধ্যে একটি হবে অডিট সাফল্য বা অডিট ব্যর্থতা . এই পোস্টে, আমরা আলোচনা করব নিরাপত্তা লগ এখন পূর্ণ (ইভেন্ট আইডি 1104) কেন এই ইভেন্টটি ট্রিগার করা হয়েছে এবং ক্লায়েন্ট বা সার্ভার মেশিনে এই পরিস্থিতিতে আপনি যে কাজগুলি সম্পাদন করতে পারেন তা সহ।

ইভেন্টের বিবরণ যেমন ইঙ্গিত করে, এই ইভেন্টটি প্রতিবার উইন্ডোজ সিকিউরিটি লগ পূর্ণ হওয়ার সময় তৈরি করে। উদাহরণস্বরূপ, যদি সিকিউরিটি ইভেন্ট লগ ফাইলের সর্বোচ্চ সাইজ পৌঁছে যায় এবং ইভেন্ট লগ ধারণ পদ্ধতি ইভেন্টগুলি ওভাররাইট করবেন না (ম্যানুয়ালি লগগুলি সাফ করুন) এই হিসাবে বর্ণিত মাইক্রোসফ্ট ডকুমেন্টেশন . নিরাপত্তা ইভেন্ট লগ সেটিংসে নিম্নলিখিত বিকল্পগুলি রয়েছে:

• প্রয়োজন অনুসারে ইভেন্টগুলি ওভাররাইট করুন (প্রথম প্রাচীনতম ঘটনা) - এটি ডিফল্ট সেটিং। একবার সর্বোচ্চ লগ আকারে পৌঁছে গেলে, নতুন আইটেমগুলির জন্য পথ তৈরি করতে পুরানো আইটেমগুলি মুছে ফেলা হবে৷
• পূর্ণ হলে লগ আর্কাইভ করুন, ঘটনাগুলি ওভাররাইট করবেন না – আপনি যদি এই বিকল্পটি নির্বাচন করেন, সর্বোচ্চ লগ আকারে পৌঁছে গেলে উইন্ডোজ স্বয়ংক্রিয়ভাবে লগটি সংরক্ষণ করবে এবং একটি নতুন তৈরি করবে। নিরাপত্তা লগ যেখানেই সংরক্ষণ করা হচ্ছে সেখানে লগ সংরক্ষণ করা হবে। ডিফল্টরূপে, এটি নিম্নলিখিত অবস্থানে হবে %SystemRoot%\SYSTEM32\WINEVT\LOGS . সঠিক অবস্থান নির্ধারণ করতে আপনি লগ-ইন ইভেন্ট ভিউয়ারের বৈশিষ্ট্য দেখতে পারেন।
• ইভেন্টগুলি ওভাররাইট করবেন না (ম্যানুয়ালি লগগুলি সাফ করুন) – যদি আপনি এই বিকল্পটি নির্বাচন করেন এবং ইভেন্ট লগটি সর্বোচ্চ আকারে পৌঁছে যায়, লগটি ম্যানুয়ালি সাফ না হওয়া পর্যন্ত আর কোনো ইভেন্ট লেখা হবে না।

আপনার নিরাপত্তা ইভেন্ট লগ সেটিংস চেক বা পরিবর্তন করতে, আপনি প্রথম জিনিস পরিবর্তন করতে চান হতে পারে সর্বোচ্চ লগ সাইজ (KB) - সর্বাধিক লগ ফাইলের আকার হল 20 MB (20480 KB)। এর বাইরে, উপরে বর্ণিত অনুযায়ী আপনার ধারণ নীতির বিষয়ে সিদ্ধান্ত নিন।

নিরাপত্তা লগ এখন পূর্ণ (ইভেন্ট আইডি 1104)

যখন সিকিউরিটি লগ ইভেন্ট ফাইলের আকারের ঊর্ধ্ব সীমা অর্জিত হয়, এবং আরও ইভেন্ট লগ করার কোন জায়গা থাকে না, ইভেন্ট আইডি 1104: নিরাপত্তা লগ এখন পূর্ণ লগ ফাইলটি পূর্ণ হওয়ার ইঙ্গিত দিয়ে লগ করা হবে, এবং আপনাকে নিম্নলিখিত তাত্ক্ষণিক ক্রিয়াগুলির যেকোনো একটি সম্পাদন করতে হবে।

এমপি 3 এ ফ্ল্যাক স্যুইচ করুন

1. ইভেন্ট ভিউয়ারে লগ ওভাররাইটিং সক্ষম করুন৷
2. উইন্ডোজ সিকিউরিটি ইভেন্ট লগ আর্কাইভ করুন
3. ম্যানুয়ালি সিকিউরিটি লগ সাফ করুন

আসুন এই প্রস্তাবিত ক্রিয়াগুলি বিস্তারিতভাবে দেখি।

প্রজেক্ট উইন্ডোজ 10 থেকে এক্সবক্স এক

1] ইভেন্ট ভিউয়ারে লগ ওভাররাইটিং সক্ষম করুন

ডিফল্টরূপে, নিরাপত্তা লগ প্রয়োজন অনুযায়ী ইভেন্ট ওভাররাইট করার জন্য কনফিগার করা হয়। আপনি যখন ওভাররাইটিং লগ অপশনটি চালু করেন, এটি ইভেন্ট ভিউয়ারকে পুরানো লগগুলি ওভাররাইট করার অনুমতি দেবে, ফলস্বরূপ মেমরিটি পূর্ণ হওয়া থেকে বাঁচাবে। সুতরাং, আপনাকে নিশ্চিত করতে হবে যে এই পদক্ষেপগুলি অনুসরণ করে এই বিকল্পটি সক্ষম করা হয়েছে:

• চাপুন উইন্ডোজ কী + আর রান ডায়ালগ আহ্বান করতে।
• রান ডায়ালগ বক্সে, টাইপ করুন eventvwr এবং ইভেন্ট ভিউয়ার খুলতে এন্টার চাপুন।
• বিস্তৃত করা উইন্ডোজ লগ .
• ক্লিক নিরাপত্তা .
• ডান ফলকে, অধীনে কর্ম মেনু, নির্বাচন করুন বৈশিষ্ট্য . বিকল্পভাবে, রাইট-ক্লিক করুন নিরাপত্তা লগ বাম নেভিগেশন ফলকে এবং নির্বাচন করুন বৈশিষ্ট্য .
• এখন, অধীনে যখন সর্বাধিক ইভেন্ট লগ আকারে পৌঁছে যায় বিভাগে, জন্য রেডিও বোতাম নির্বাচন করুন প্রয়োজন অনুসারে ইভেন্টগুলি ওভাররাইট করুন (প্রথম প্রাচীনতম ঘটনা) বিকল্প
• ক্লিক আবেদন করুন > ঠিক আছে .

পড়ুন : উইন্ডোজে ইভেন্ট লগ কিভাবে বিস্তারিতভাবে দেখতে হয়

2] উইন্ডোজ নিরাপত্তা ইভেন্ট লগ সংরক্ষণাগার

একটি নিরাপত্তা-সচেতন পরিবেশে (বিশেষ করে একটি এন্টারপ্রাইজ/সংস্থায়), এটি Windows নিরাপত্তা ইভেন্ট লগ সংরক্ষণাগারের জন্য প্রয়োজনীয় বা বাধ্যতামূলক হতে পারে। এটি নির্বাচন করে উপরে দেখানো হিসাবে ইভেন্ট ভিউয়ারের মাধ্যমে করা যেতে পারে পূর্ণ হলে লগ আর্কাইভ করুন, ঘটনাগুলি ওভাররাইট করবেন না বিকল্প, বা দ্বারা একটি PowerShell স্ক্রিপ্ট তৈরি এবং চালানো নীচের কোড ব্যবহার করে। PowerShell স্ক্রিপ্ট নিরাপত্তা ইভেন্ট লগের আকার পরীক্ষা করবে এবং প্রয়োজনে এটি সংরক্ষণাগারভুক্ত করবে। স্ক্রিপ্ট দ্বারা সম্পাদিত পদক্ষেপগুলি নিম্নরূপ:

• নিরাপত্তা ইভেন্ট লগ 250 MB এর নিচে হলে, একটি তথ্যমূলক ইভেন্ট অ্যাপ্লিকেশন ইভেন্ট লগে লেখা হয়
• লগ 250 MB এর বেশি হলে
  • লগটি D:\Logs\OS এ সংরক্ষণাগারভুক্ত করা হয়েছে।
  • সংরক্ষণাগার অপারেশন ব্যর্থ হলে, অ্যাপ্লিকেশন ইভেন্ট লগে একটি ত্রুটি ইভেন্ট লেখা হয় এবং একটি ই-মেইল পাঠানো হয়।
  • সংরক্ষণাগার অপারেশন সফল হলে, একটি তথ্যমূলক ইভেন্ট অ্যাপ্লিকেশন ইভেন্ট লগে লেখা হয় এবং একটি ই-মেইল পাঠানো হয়।

আপনার পরিবেশে স্ক্রিপ্ট ব্যবহার করার আগে, নিম্নলিখিত ভেরিয়েবলগুলি কনফিগার করুন:

• $ArchiveSize - পছন্দসই লগ সাইজ সীমাতে সেট করুন (MB)
• $ArchiveFolder - একটি বিদ্যমান পথে সেট করুন যেখানে আপনি লগ ফাইল সংরক্ষণাগারগুলি যেতে চান
• $mailMsgServer - একটি বৈধ SMTP সার্ভারে সেট করুন
• $mailMsgFrom - একটি বৈধ ই-মেইল ঠিকানা থেকে সেট করুন
• $MailMsgTo - একটি বৈধ TO ই-মেইল ঠিকানা সেট করুন

# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
  Write-Host
  Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
  Exit
}
# Configure environment
$sysName        = $env:computername
$eventName      = "Security Event Log Monitoring"
$mailMsgServer  = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom    = "[email protected]"
$mailMsgTo      = "[email protected]"
# Add event source to application log if necessary 
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) { 
  New-EventLog -LogName Application -Source $eventName
} 
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
  $ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size has exceeded the threshold of $ArchiveSize MB."
  $Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
  If ($Results -eq 0) {
    # Successful backup of security event log
    $Results = ($Log.ClearEventlog()).ReturnValue
    $EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
  Else {
    $EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared.  Review and resolve security event log issues on $sysName ASAP!"
    Write-Host $EventMessage
    Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
    $mailMsgBody = $EventMessage
    Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
  }
}
Else {
  # Write an informational event to the application event log
  $EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB.  The maximum allowable size is " + $SizeMaximumMB + " MB.  The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
  Write-Host $EventMessage
  Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()

পড়ুন : টাস্ক শিডিউলারে পাওয়ারশেল স্ক্রিপ্ট কীভাবে শিডিউল করবেন

আপনি যদি চান, আপনি প্রতি ঘন্টায় স্ক্রিপ্ট চালানোর জন্য একটি XML ফাইল ব্যবহার করতে পারেন। এই জন্য, একটি XML ফাইলে নিম্নলিখিত কোড সংরক্ষণ করুন এবং তারপর টাস্ক শিডিউলারে এটি আমদানি করুন . পরিবর্তন নিশ্চিত করুন <আর্গুমেন্ট> ফোল্ডার/ফাইলের নামের অংশ যেখানে আপনি স্ক্রিপ্টটি সংরক্ষণ করেছেন।

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2017-01-18T16:41:30.9576112</Date>
    <Description>Monitor security event log.  Archive and clear log if threshold is met.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT2H</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-18T00:00:00</StartBoundary>
      <ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
    <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
    </Exec>
  </Actions>
</Task>

পড়ুন: টাস্ক XML-এ একটি মান রয়েছে যা ভুলভাবে সংযুক্ত বা পরিসীমার বাইরে

একবার আপনি লগগুলি সংরক্ষণাগার সক্ষম বা কনফিগার করার পরে, প্রাচীনতম লগগুলি সংরক্ষণ করা হবে এবং নতুন লগগুলির সাথে ওভাররাইট করা হবে না৷ সুতরাং এখন থেকে, সর্বাধিক লগ আকারে পৌঁছে গেলে উইন্ডোজ লগটিকে সংরক্ষণাগারভুক্ত করবে এবং এটিকে আপনার নির্দিষ্ট করা ডিরেক্টরিতে সংরক্ষণ করবে (যদি ডিফল্ট না হয়)। সংরক্ষণাগারভুক্ত ফাইলের নাম দেওয়া হবে সংরক্ষণাগার-<বিভাগ>-<তারিখ/সময়> বিন্যাস, উদাহরণস্বরূপ, সংরক্ষণাগার-নিরাপত্তা-2023-02-14-18-05-34 . সংরক্ষণাগারভুক্ত ফাইলটি এখন পুরানো ইভেন্টগুলি ট্রেস করতে ব্যবহার করা যেতে পারে।

মাইক্রোসফ্ট ডায়াগনস্টিক টুল উইন্ডোজ 10

পড়ুন : WinDefLogView ব্যবহার করে উইন্ডোজ ডিফেন্ডার ইভেন্ট লগ পড়ুন

3] ম্যানুয়ালি সিকিউরিটি লগ সাফ করুন

অ্যান্টিভাইরাস পরীক্ষা কিভাবে

আপনি যদি ধরে রাখার নীতি সেট করে থাকেন ইভেন্টগুলি ওভাররাইট করবেন না (ম্যানুয়ালি লগগুলি সাফ করুন) , তোমার দরকার হবে ম্যানুয়ালি নিরাপত্তা লগ সাফ করুন নিম্নলিখিত যে কোনো পদ্ধতি ব্যবহার করে।

• পর্ব পরিদর্শক
• WEVTUTIL.exe ইউটিলিটি
• ব্যাচ ফাইল

এটাই!

এখন পড়ুন : ইভেন্ট লগে ঘটনা অনুপস্থিত

কোন ইভেন্ট আইডি ম্যালওয়্যার সনাক্ত করা হয়?

Windows নিরাপত্তা ইভেন্ট লগ আইডি 4688 নির্দেশ করে যে সিস্টেমে ম্যালওয়্যার সনাক্ত করা হয়েছে। উদাহরণস্বরূপ, যদি আপনার উইন্ডোজ সিস্টেমে ম্যালওয়্যার উপস্থিত থাকে, ইভেন্ট 4688 অনুসন্ধান করা সেই অসৎ উদ্দেশ্যমূলক প্রোগ্রাম দ্বারা সম্পাদিত যে কোনও প্রক্রিয়া প্রকাশ করবে। সেই তথ্য দিয়ে, আপনি একটি দ্রুত স্ক্যান করতে পারেন, একটি উইন্ডোজ ডিফেন্ডার স্ক্যান নির্ধারণ করুন , বা একটি ডিফেন্ডার অফলাইন স্ক্যান চালান .

লগইন ইভেন্টের নিরাপত্তা আইডি কি?

ইভেন্ট ভিউয়ারে, ইভেন্ট আইডি 4624 একটি স্থানীয় কম্পিউটারে লগ ইন করার প্রতিটি সফল প্রচেষ্টায় লগ ইন করা হবে। এই ইভেন্টটি কম্পিউটারে উত্পন্ন হয় যা অ্যাক্সেস করা হয়েছিল, অন্য কথায়, যেখানে লগইন সেশন তৈরি করা হয়েছিল। ঘটনা লগইন টাইপ 11: ক্যাশেড ইন্টারেক্টিভ কম্পিউটারে স্থানীয়ভাবে সংরক্ষিত নেটওয়ার্ক শংসাপত্র সহ একটি কম্পিউটারে লগ ইন করা ব্যবহারকারীকে নির্দেশ করে৷ শংসাপত্র যাচাই করার জন্য ডোমেন কন্ট্রোলারের সাথে যোগাযোগ করা হয়নি।

পড়ুন : Windows ইভেন্ট লগ পরিষেবা শুরু হচ্ছে না বা অনুপলব্ধ .