ایونٹ ویور میں، لاگ ان کی گئی غلطیاں عام ہیں، اور آپ کو مختلف ایونٹ آئی ڈی کے ساتھ مختلف غلطیاں نظر آئیں گی۔ سیکورٹی لاگز میں درج ہونے والے واقعات عام طور پر مطلوبہ الفاظ میں سے ہوں گے۔ آڈٹ کی کامیابی یا آڈٹ میں ناکامی۔ . اس پوسٹ میں، ہم بات کریں گے سیکیورٹی لاگ اب بھرا ہوا ہے (ایونٹ ID 1104) بشمول اس واقعہ کو کیوں متحرک کیا گیا ہے اور وہ اعمال جو آپ اس صورتحال میں انجام دے سکتے ہیں چاہے وہ کلائنٹ یا سرور مشین پر ہو۔
جیسا کہ ایونٹ کی تفصیل بتاتی ہے، یہ ایونٹ ہر بار ونڈوز سیکیورٹی لاگ بھرنے پر تیار کرتا ہے۔ مثال کے طور پر، اگر سیکیورٹی ایونٹ لاگ فائل کا زیادہ سے زیادہ سائز پہنچ گیا تھا اور ایونٹ لاگ کو برقرار رکھنے کا طریقہ ہے۔ واقعات کو اوور رائٹ نہ کریں (دستی طور پر لاگز کو صاف کریں) جیسا کہ اس میں بیان کیا گیا ہے۔ مائیکروسافٹ دستاویزات . سیکیورٹی ایونٹ لاگ سیٹنگز میں درج ذیل اختیارات ہیں:
- ضرورت کے مطابق واقعات کو اوور رائٹ کریں (پہلے قدیم ترین واقعات) - یہ پہلے سے طے شدہ ترتیب ہے۔ لاگ ان کے زیادہ سے زیادہ سائز تک پہنچنے کے بعد، نئی آئٹمز کے لیے راستہ بنانے کے لیے پرانی اشیاء کو حذف کر دیا جائے گا۔
- مکمل ہونے پر لاگ کو آرکائیو کریں، واقعات کو اوور رائٹ نہ کریں۔ - اگر آپ اس اختیار کو منتخب کرتے ہیں، تو Windows خود بخود لاگ کو محفوظ کر لے گا جب زیادہ سے زیادہ لاگ سائز تک پہنچ جائے گا اور ایک نیا بنائے گا۔ لاگ کو محفوظ کیا جائے گا جہاں بھی حفاظتی لاگ کو ذخیرہ کیا جا رہا ہے۔ پہلے سے طے شدہ طور پر، یہ درج ذیل مقام پر ہوگا۔ %SystemRoot%\SYSTEM32\WINEVT\LOGS . درست مقام کا تعین کرنے کے لیے آپ لاگ ان ایونٹ ویور کی خصوصیات دیکھ سکتے ہیں۔
- واقعات کو اوور رائٹ نہ کریں (دستی طور پر لاگز کو صاف کریں) – اگر آپ اس اختیار کو منتخب کرتے ہیں اور ایونٹ لاگ زیادہ سے زیادہ سائز تک پہنچ جاتا ہے، تو لاگ کو دستی طور پر صاف کرنے تک مزید واقعات نہیں لکھے جائیں گے۔
اپنی سیکیورٹی ایونٹ لاگ سیٹنگز کو چیک کرنے یا اس میں ترمیم کرنے کے لیے، آپ جس چیز کو تبدیل کرنا چاہیں گے وہ ہو گی۔ لاگ کا زیادہ سے زیادہ سائز (KB) - لاگ فائل کا زیادہ سے زیادہ سائز 20 MB (20480 KB) ہے۔ اس کے علاوہ، اوپر بیان کردہ کے مطابق اپنی برقراری کی پالیسی پر فیصلہ کریں۔
سیکیورٹی لاگ اب بھرا ہوا ہے (ایونٹ ID 1104)
جب سیکیورٹی لاگ ایونٹ فائل سائز کی اوپری حد حاصل ہو جاتی ہے، اور مزید ایونٹس کو لاگ کرنے کی کوئی گنجائش نہیں ہوتی ہے، ایونٹ ID 1104: سیکورٹی لاگ اب بھرا ہوا ہے۔ لاگ ان کیا جائے گا جس سے ظاہر ہوتا ہے کہ لاگ فائل بھری ہوئی ہے، اور آپ کو درج ذیل میں سے کوئی بھی فوری کارروائی کرنے کی ضرورت ہے۔
- ایونٹ ویور میں لاگ اوور رائٹنگ کو فعال کریں۔
- ونڈوز سیکیورٹی ایونٹ لاگ کو آرکائیو کریں۔
- سیکیورٹی لاگ کو دستی طور پر صاف کریں۔
آئیے ان تجویز کردہ اقدامات کو تفصیل سے دیکھتے ہیں۔
1] ایونٹ ویور میں لاگ اوور رائٹنگ کو فعال کریں۔
ڈسپلے ڈرائیور شروع کرنے میں ناکام
پہلے سے طے شدہ طور پر، سیکورٹی لاگ کو ضرورت کے مطابق واقعات کو اوور رائٹ کرنے کے لیے ترتیب دیا جاتا ہے۔ جب آپ اوور رائٹنگ لاگز کے آپشن کو آن کرتے ہیں، تو یہ ایونٹ ویور کو پرانے لاگز کو اوور رائٹ کرنے کی اجازت دے گا، اس کے نتیجے میں میموری کو مکمل ہونے سے بچایا جائے گا۔ لہذا، آپ کو یہ یقینی بنانا ہوگا کہ یہ آپشن ان اقدامات پر عمل کرکے فعال ہے:
- دبائیں ونڈوز کی + آر رن ڈائیلاگ کو شروع کرنے کے لیے۔
- رن ڈائیلاگ باکس میں ٹائپ کریں۔ ایونٹ وی ڈبلیو آر اور ایونٹ ویور کو کھولنے کے لیے Enter کو دبائیں۔
- پھیلائیں۔ ونڈوز لاگز .
- کلک کریں۔ سیکورٹی .
- دائیں پین پر، کے نیچے اعمال مینو، منتخب کریں۔ پراپرٹیز . متبادل طور پر، پر دائیں کلک کریں۔ سیکیورٹی لاگ بائیں نیویگیشن پین پر اور منتخب کریں۔ پراپرٹیز .
- اب، کے تحت جب زیادہ سے زیادہ ایونٹ لاگ سائز تک پہنچ جاتا ہے۔ سیکشن، کے لیے ریڈیو بٹن کو منتخب کریں۔ ضرورت کے مطابق واقعات کو اوور رائٹ کریں (پہلے قدیم ترین واقعات) اختیار
- کلک کریں۔ درخواست دیں > ٹھیک ہے .
پڑھیں : ونڈوز میں ایونٹ لاگز کو تفصیل سے کیسے دیکھیں
مائیکروسافٹ ایج کو کھولنے سے کیسے روکا جائے
2] ونڈوز سیکیورٹی ایونٹ لاگ کو آرکائیو کریں۔
سیکیورٹی کے حوالے سے شعور رکھنے والے ماحول میں (خاص طور پر کسی انٹرپرائز/تنظیم میں)، یہ Windows سیکیورٹی ایونٹ لاگ کو آرکائیو کرنے کے لیے ضروری یا لازمی ہو سکتا ہے۔ یہ ایونٹ ویور کے ذریعے کیا جا سکتا ہے جیسا کہ اوپر دکھایا گیا ہے کو منتخب کر کے مکمل ہونے پر لاگ کو آرکائیو کریں، واقعات کو اوور رائٹ نہ کریں۔ اختیار، یا کی طرف سے پاور شیل اسکرپٹ بنانا اور چلانا ذیل میں کوڈ کا استعمال کرتے ہوئے. پاور شیل اسکرپٹ سیکیورٹی ایونٹ لاگ کے سائز کو چیک کرے گا اور اگر ضروری ہو تو اسے محفوظ کرے گا۔ اسکرپٹ کے ذریعہ انجام دیئے گئے اقدامات درج ذیل ہیں:
- اگر سیکیورٹی ایونٹ لاگ 250 MB سے کم ہے، تو ایپلیکیشن ایونٹ لاگ پر ایک معلوماتی واقعہ لکھا جاتا ہے۔
- اگر لاگ 250 MB سے زیادہ ہے۔
- لاگ کو D:\Logs\OS میں محفوظ کیا گیا ہے۔
- اگر آرکائیو آپریشن ناکام ہو جاتا ہے تو، ایپلیکیشن ایونٹ لاگ پر ایک غلطی کا واقعہ لکھا جاتا ہے اور ایک ای میل بھیجا جاتا ہے۔
- اگر آرکائیو آپریشن کامیاب ہو جاتا ہے، تو ایک معلوماتی واقعہ ایپلی کیشن ایونٹ لاگ پر لکھا جاتا ہے اور ایک ای میل بھیجا جاتا ہے۔
اسکرپٹ کو اپنے ماحول میں استعمال کرنے سے پہلے، درج ذیل متغیرات کو ترتیب دیں:
- $ArchiveSize - لاگ سائز کی مطلوبہ حد (MB) پر سیٹ کریں
- $ArchiveFolder - ایک موجودہ راستے پر سیٹ کریں جہاں آپ لاگ فائل آرکائیوز کو جانا چاہتے ہیں۔
- $mailMsgServer - ایک درست SMTP سرور پر سیٹ کریں۔
- $mailMsgFrom - ای میل ایڈریس سے ایک درست پر سیٹ کریں۔
- $MailMsgTo – ایک درست TO ای میل ایڈریس پر سیٹ کریں۔
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()پڑھیں : ٹاسک شیڈیولر میں پاور شیل اسکرپٹ کو شیڈول کرنے کا طریقہ
اگر آپ چاہیں تو، آپ اسکرپٹ کو ہر گھنٹے چلانے کے لیے ایک XML فائل استعمال کر سکتے ہیں۔ اس کے لیے درج ذیل کوڈ کو XML فائل میں محفوظ کریں اور پھر اسے ٹاسک شیڈیولر میں درآمد کریں۔ . کو تبدیل کرنا یقینی بنائیں <دلائل> فولڈر/فائل کے نام کا سیکشن جہاں آپ نے اسکرپٹ کو محفوظ کیا تھا۔
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>پڑھیں: ٹاسک XML ایک قدر پر مشتمل ہے جو غلط طور پر منسلک ہے یا حد سے باہر ہے۔
ایک بار جب آپ لاگز کو آرکائیو کرنے کو فعال یا کنفیگر کر لیتے ہیں، تو سب سے پرانے لاگز محفوظ ہو جائیں گے اور نئے لاگز کے ساتھ اوور رائٹ نہیں کیے جائیں گے۔ لہٰذا اب آگے، ونڈوز لاگ کو زیادہ سے زیادہ لاگ سائز تک پہنچنے پر اسے آرکائیو کرے گا اور اسے اس ڈائرکٹری میں محفوظ کرے گا (اگر پہلے سے طے شدہ نہیں ہے) آپ نے بیان کیا ہے۔ محفوظ شدہ فائل کا نام رکھا جائے گا۔ آرکائیو-<سیکشن>-<تاریخ/وقت> فارمیٹ، مثال کے طور پر، آرکائیو-سیکیورٹی-2023-02-14-18-05-34 . محفوظ شدہ فائل کو اب پرانے واقعات کو ٹریس کرنے کے لیے استعمال کیا جا سکتا ہے۔
پڑھیں : WinDefLogView کا استعمال کرتے ہوئے ونڈوز ڈیفنڈر ایونٹ لاگ پڑھیں
3] سیکیورٹی لاگ کو دستی طور پر صاف کریں۔
اگر آپ نے برقرار رکھنے کی پالیسی کو مقرر کیا ہے۔ واقعات کو اوور رائٹ نہ کریں (دستی طور پر لاگز کو صاف کریں) ، آپ کو ضرورت ہوگی۔ سیکیورٹی لاگ کو دستی طور پر صاف کریں۔ مندرجہ ذیل طریقوں میں سے کسی کا استعمال کرتے ہوئے.
کلید مسدود ہے
- وقوعہ کا شاہد
- WEVTUTIL.exe یوٹیلیٹی
- بیچ فائل
یہی ہے!
اب پڑھیں : ایونٹ لاگ میں ایونٹس غائب ہیں۔
میلویئر کا پتہ چلا کس ایونٹ کی شناخت ہے؟
Windows سیکورٹی ایونٹ لاگ ID 4688 اشارہ کرتا ہے کہ سسٹم پر میلویئر کا پتہ چلا ہے۔ مثال کے طور پر، اگر آپ کے ونڈوز سسٹم میں میلویئر موجود ہے تو، ایونٹ 4688 کو تلاش کرنے سے اس غیر ارادی پروگرام کے ذریعے انجام پانے والے کسی بھی عمل کا پتہ چل جائے گا۔ اس معلومات کے ساتھ، آپ فوری اسکین کر سکتے ہیں، ونڈوز ڈیفنڈر اسکین شیڈول کریں۔ ، یا ڈیفنڈر آف لائن اسکین چلائیں۔ .
لاگ ان ایونٹ کے لیے سیکیورٹی ID کیا ہے؟
ایونٹ ویور میں، واقعہ ID 4624 مقامی کمپیوٹر پر لاگ ان کرنے کی ہر کامیاب کوشش پر لاگ ان کیا جائے گا۔ یہ ایونٹ اس کمپیوٹر پر تیار ہوتا ہے جس تک رسائی حاصل کی گئی تھی، دوسرے لفظوں میں، جہاں لاگ ان سیشن بنایا گیا تھا۔ تقریب لاگ ان کی قسم 11: کیشڈ انٹرایکٹو نیٹ ورک کی اسناد کے ساتھ کمپیوٹر پر لاگ ان ہونے والے صارف کی نشاندہی کرتا ہے جو کمپیوٹر پر مقامی طور پر محفوظ کیے گئے تھے۔ ڈومین کنٹرولر سے اسناد کی تصدیق کے لیے رابطہ نہیں کیا گیا۔
پڑھیں : ونڈوز ایونٹ لاگ سروس شروع نہیں ہو رہی ہے یا دستیاب نہیں ہے۔ .
