நிகழ்வு வியூவரில், பதிவுசெய்யப்பட்ட பிழைகள் பொதுவானவை, மேலும் வெவ்வேறு நிகழ்வு ஐடிகளுடன் வெவ்வேறு பிழைகளை நீங்கள் சந்திப்பீர்கள். பாதுகாப்பு பதிவுகளில் பதிவுசெய்யப்பட்ட நிகழ்வுகள் பொதுவாக முக்கிய சொல்லாக இருக்கும் தணிக்கை வெற்றி அல்லது தணிக்கை தோல்வி . இந்த இடுகையில், நாம் விவாதிப்போம் பாதுகாப்பு பதிவு இப்போது நிரம்பியுள்ளது (நிகழ்வு ஐடி 1104) இந்த நிகழ்வு ஏன் தூண்டப்பட்டது மற்றும் கிளையன்ட் அல்லது சர்வர் கணினியில் இந்த சூழ்நிலையில் நீங்கள் செய்யக்கூடிய செயல்கள் உட்பட.
உங்கள் கணினிக்கு விண்டோஸ் 10 ஐ சரிபார்க்கிறது
நிகழ்வு விளக்கம் குறிப்பிடுவது போல, இந்த நிகழ்வு ஒவ்வொரு முறையும் Windows பாதுகாப்பு பதிவு முழுமையடையும் போது உருவாக்குகிறது. எடுத்துக்காட்டாக, பாதுகாப்பு நிகழ்வுப் பதிவு கோப்பின் அதிகபட்ச அளவை அடைந்து, நிகழ்வுப் பதிவைத் தக்கவைக்கும் முறை நிகழ்வுகளை மேலெழுத வேண்டாம் (பதிவுகளை கைமுறையாக அழிக்கவும்) என இதில் விவரிக்கப்பட்டுள்ளது மைக்ரோசாப்ட் ஆவணங்கள் . பாதுகாப்பு நிகழ்வு பதிவு அமைப்புகளில் பின்வரும் விருப்பங்கள் உள்ளன:
- தேவைக்கேற்ப நிகழ்வுகளை மேலெழுதவும் (பழைய நிகழ்வுகள் முதலில்) - இது இயல்புநிலை அமைப்பாகும். அதிகபட்ச பதிவு அளவை எட்டியதும், புதிய உருப்படிகளை உருவாக்க பழைய உருப்படிகள் நீக்கப்படும்.
- பதிவு நிரம்பியவுடன் காப்பகப்படுத்தவும், நிகழ்வுகளை மேலெழுத வேண்டாம் - நீங்கள் இந்த விருப்பத்தைத் தேர்ந்தெடுத்தால், அதிகபட்ச பதிவு அளவை எட்டும்போது விண்டோஸ் தானாகவே பதிவைச் சேமித்து புதிய ஒன்றை உருவாக்கும். பாதுகாப்புப் பதிவு எங்கு சேமிக்கப்படுகிறதோ அங்கெல்லாம் பதிவு காப்பகப்படுத்தப்படும். இயல்பாக, இது பின்வரும் இடத்தில் இருக்கும் %SystemRoot%\SYSTEM32\WINEVT\LOGS . சரியான இடத்தைத் தீர்மானிக்க, உள்நுழைவு நிகழ்வுப் பார்வையாளரின் பண்புகளை நீங்கள் பார்க்கலாம்.
- நிகழ்வுகளை மேலெழுத வேண்டாம் (பதிவுகளை கைமுறையாக அழிக்கவும்) - நீங்கள் இந்த விருப்பத்தைத் தேர்ந்தெடுத்து, நிகழ்வுப் பதிவு அதிகபட்ச அளவை அடைந்தால், பதிவு கைமுறையாக அழிக்கப்படும் வரை எந்த நிகழ்வுகளும் எழுதப்படாது.
உங்கள் பாதுகாப்பு நிகழ்வு பதிவு அமைப்புகளைச் சரிபார்க்க அல்லது மாற்ற, நீங்கள் முதலில் மாற்ற விரும்புவது அதிகபட்ச பதிவு அளவு (KB) - அதிகபட்ச பதிவு கோப்பு அளவு 20 MB (20480 KB) ஆகும். அதற்கு அப்பால், மேலே குறிப்பிட்டபடி உங்கள் தக்கவைப்புக் கொள்கையை முடிவு செய்யுங்கள்.
பாதுகாப்பு பதிவு இப்போது நிரம்பியுள்ளது (நிகழ்வு ஐடி 1104)
பாதுகாப்பு பதிவு நிகழ்வு கோப்பு அளவின் மேல் வரம்பை அடைந்து, மேலும் நிகழ்வுகளை பதிவு செய்ய இடமில்லை, நிகழ்வு ஐடி 1104: பாதுகாப்புப் பதிவு இப்போது நிரம்பியுள்ளது பதிவு கோப்பு நிரம்பியிருப்பதைக் குறிக்கும் வகையில் பதிவுசெய்யப்படும், மேலும் பின்வரும் உடனடி செயல்களில் ஏதேனும் ஒன்றை நீங்கள் செய்ய வேண்டும்.
- நிகழ்வு பார்வையாளரில் பதிவு மேலெழுதலை இயக்கவும்
- விண்டோஸ் பாதுகாப்பு நிகழ்வு பதிவை காப்பகப்படுத்தவும்
- பாதுகாப்பு பதிவை கைமுறையாக அழிக்கவும்
இந்த பரிந்துரைக்கப்பட்ட செயல்களை விரிவாகப் பார்ப்போம்.
1] நிகழ்வு வியூவரில் பதிவு மேலெழுதலை இயக்கவும்
முன்னிருப்பாக, தேவைக்கேற்ப நிகழ்வுகளை மேலெழுத பாதுகாப்பு பதிவு கட்டமைக்கப்பட்டுள்ளது. நீங்கள் மேலெழுதும் பதிவுகள் விருப்பத்தை இயக்கும் போது, இது நிகழ்வு பார்வையாளரை பழைய பதிவுகளை மேலெழுத அனுமதிக்கும், இதையொட்டி நினைவகம் முழுவதுமாக சேமிக்கப்படும். எனவே, இந்த வழிமுறைகளைப் பின்பற்றுவதன் மூலம் இந்த விருப்பம் இயக்கப்பட்டிருப்பதை உறுதிசெய்ய வேண்டும்:
- அழுத்தவும் விண்டோஸ் விசை + ஆர் இயக்க உரையாடலை அழைக்க.
- இயக்கு உரையாடல் பெட்டியில், தட்டச்சு செய்யவும் நிகழ்வுvwr நிகழ்வு பார்வையாளரைத் திறக்க Enter ஐ அழுத்தவும்.
- விரிவாக்கு விண்டோஸ் பதிவுகள் .
- கிளிக் செய்யவும் பாதுகாப்பு .
- வலது பலகத்தில், கீழ் செயல்கள் மெனு, தேர்வு பண்புகள் . மாற்றாக, வலது கிளிக் செய்யவும் பாதுகாப்பு பதிவு இடது வழிசெலுத்தல் பலகத்தில் மற்றும் தேர்ந்தெடுக்கவும் பண்புகள் .
- இப்போது, கீழ் அதிகபட்ச நிகழ்வு பதிவு அளவை எட்டும்போது பிரிவில், வானொலி பொத்தானைத் தேர்ந்தெடுக்கவும் தேவைக்கேற்ப நிகழ்வுகளை மேலெழுதவும் (பழைய நிகழ்வுகள் முதலில்) விருப்பம்.
- கிளிக் செய்யவும் விண்ணப்பிக்கவும் > சரி .
படி : விண்டோஸில் நிகழ்வுப் பதிவுகளை எவ்வாறு விரிவாகப் பார்ப்பது
2] விண்டோஸ் பாதுகாப்பு நிகழ்வு பதிவை காப்பகப்படுத்தவும்
பாதுகாப்பு உணர்வுள்ள சூழலில் (குறிப்பாக ஒரு நிறுவனம்/நிறுவனத்தில்), Windows பாதுகாப்பு நிகழ்வு பதிவை காப்பகப்படுத்துவது அவசியமாக இருக்கலாம் அல்லது கட்டாயப்படுத்தப்படலாம். என்பதைத் தேர்ந்தெடுப்பதன் மூலம் மேலே காட்டப்பட்டுள்ளபடி நிகழ்வு பார்வையாளர் வழியாக இதைச் செய்யலாம் பதிவு நிரம்பியவுடன் காப்பகப்படுத்தவும், நிகழ்வுகளை மேலெழுத வேண்டாம் விருப்பம், அல்லது மூலம் பவர்ஷெல் ஸ்கிரிப்டை உருவாக்கி இயக்குகிறது கீழே உள்ள குறியீட்டைப் பயன்படுத்தி. பவர்ஷெல் ஸ்கிரிப்ட் பாதுகாப்பு நிகழ்வு பதிவின் அளவை சரிபார்த்து, தேவைப்பட்டால் அதை காப்பகப்படுத்தும். ஸ்கிரிப்ட் மூலம் செய்யப்படும் படிகள் பின்வருமாறு:
- பாதுகாப்பு நிகழ்வு பதிவு 250 MB க்கு கீழ் இருந்தால், பயன்பாட்டு நிகழ்வு பதிவில் ஒரு தகவல் நிகழ்வு எழுதப்படும்
- பதிவு 250 எம்பிக்கு மேல் இருந்தால்
- பதிவு D:\Logs\OS க்கு காப்பகப்படுத்தப்பட்டுள்ளது.
- காப்பக செயல்பாடு தோல்வியுற்றால், ஒரு பிழை நிகழ்வு விண்ணப்ப நிகழ்வு பதிவில் எழுதப்பட்டு மின்னஞ்சல் அனுப்பப்படும்.
- காப்பக செயல்பாடு வெற்றியடைந்தால், விண்ணப்ப நிகழ்வு பதிவில் ஒரு தகவல் நிகழ்வு எழுதப்பட்டு மின்னஞ்சல் அனுப்பப்படும்.
உங்கள் சூழலில் ஸ்கிரிப்டைப் பயன்படுத்துவதற்கு முன், பின்வரும் மாறிகளை உள்ளமைக்கவும்:
- $ArchiveSize - விரும்பிய பதிவு அளவு வரம்புக்கு (MB) அமைக்கவும்
- $ArchiveFolder - பதிவு கோப்பு காப்பகங்கள் செல்ல விரும்பும் ஏற்கனவே உள்ள பாதையை அமைக்கவும்
- $mailMsgServer - செல்லுபடியாகும் SMTP சேவையகத்திற்கு அமைக்கவும்
- $mailMsgFrom – செல்லுபடியாகும் மின்னஞ்சல் முகவரியிலிருந்து அமைக்கவும்
- $MailMsgTo - செல்லுபடியாகும் TO மின்னஞ்சல் முகவரிக்கு அமைக்கவும்
# Set the archive location
$ArchiveFolder = "D:\Logs\OS"
# How big can the security event log get in MB before we automatically archive?
$ArchiveSize = 250
# Verify the archive folder exists
If (!(Test-Path $ArchiveFolder)) {
Write-Host
Write-Host "Archive folder $ArchiveFolder does not exist, aborting ..." -ForegroundColor Red
Exit
}
# Configure environment
$sysName = $env:computername
$eventName = "Security Event Log Monitoring"
$mailMsgServer = "your.smtp.server.name"
$mailMsgSubject = "$sysName Security Event Log Monitoring"
$mailMsgFrom = "[email protected]"
$mailMsgTo = "[email protected]"
# Add event source to application log if necessary
If (-NOT ([System.Diagnostics.EventLog]::SourceExists($eventName))) {
New-EventLog -LogName Application -Source $eventName
}
# Check the security log
$Log = Get-WmiObject Win32_NTEventLogFile -Filter "logfilename = 'security'"
$SizeCurrentMB = [math]::Round($Log.FileSize / 1024 / 1024,2)
$SizeMaximumMB = [math]::Round($Log.MaxFileSize / 1024 / 1024,2)
Write-Host
# Archive the security log if over the limit
If ($SizeCurrentMB -gt $ArchiveSize) {
$ArchiveFile = $ArchiveFolder + "\Security-" + (Get-Date -Format "[email protected]") + ".evt"
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size has exceeded the threshold of $ArchiveSize MB."
$Results = ($Log.BackupEventlog($ArchiveFile)).ReturnValue
If ($Results -eq 0) {
# Successful backup of security event log
$Results = ($Log.ClearEventlog()).ReturnValue
$EventMessage += "The security event log was successfully archived to $ArchiveFile and cleared."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
Else {
$EventMessage += "The security event log could not be archived to $ArchiveFile and was not cleared. Review and resolve security event log issues on $sysName ASAP!"
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Error -Message $eventMessage -Category 0
$mailMsgBody = $EventMessage
Send-MailMessage -From $mailMsgFrom -to $MailMsgTo -subject $mailMsgSubject -Body $mailMsgBody -SmtpServer $mailMsgServer
}
}
Else {
# Write an informational event to the application event log
$EventMessage = "The security event log size is currently " + $SizeCurrentMB + " MB. The maximum allowable size is " + $SizeMaximumMB + " MB. The security event log size is below the threshold of $ArchiveSize MB so no action was taken."
Write-Host $EventMessage
Write-EventLog -LogName Application -Source $eventName -EventId 11 -EntryType Information -Message $eventMessage -Category 0
}
# Close the log
$Log.Dispose()படி : Task Scheduler இல் PowerShell ஸ்கிரிப்டை எவ்வாறு திட்டமிடுவது
Google இயக்ககத்தில் ocr
நீங்கள் விரும்பினால், ஒவ்வொரு மணிநேரமும் இயங்கும் வகையில் ஸ்கிரிப்டை அமைக்க XML கோப்பைப் பயன்படுத்தலாம். இதற்கு, பின்வரும் குறியீட்டை ஒரு XML கோப்பில் சேமித்து பின்னர் அதை Task Scheduler இல் இறக்குமதி செய்யவும் . மாற்றுவதை உறுதி செய்யவும் <வாதங்கள்> நீங்கள் ஸ்கிரிப்டை சேமித்த கோப்புறை/கோப்பின் பெயருக்கான பிரிவு.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2017-01-18T16:41:30.9576112</Date>
<Description>Monitor security event log. Archive and clear log if threshold is met.</Description>
</RegistrationInfo>
<Triggers>
<CalendarTrigger>
<Repetition>
<Interval>PT2H</Interval>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2017-01-18T00:00:00</StartBoundary>
<ExecutionTimeLimit>PT30M</ExecutionTimeLimit>
<Enabled>true</Enabled>
<ScheduleByDay>
<DaysInterval>1</DaysInterval>
</ScheduleByDay>
</CalendarTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>c:\scripts\PS\MonitorSecurityLog.ps1</Arguments>
</Exec>
</Actions>
</Task>படி: Task XML ஆனது தவறாக இணைக்கப்பட்ட அல்லது வரம்பிற்கு வெளியே உள்ள மதிப்பைக் கொண்டுள்ளது
பதிவுகளை காப்பகப்படுத்துவதை இயக்கி அல்லது கட்டமைத்தவுடன், பழைய பதிவுகள் சேமிக்கப்படும் மற்றும் புதிய பதிவுகள் மூலம் மேலெழுதப்படாது. எனவே இப்போது, விண்டோஸ் அதிகபட்ச பதிவு அளவை அடைந்ததும் பதிவைக் காப்பகப்படுத்தி, நீங்கள் குறிப்பிட்ட கோப்பகத்தில் (இயல்புநிலை இல்லையென்றால்) சேமிக்கும். காப்பகப்படுத்தப்பட்ட கோப்பு பெயரிடப்படும் காப்பகம்-<பிரிவு>-<தேதி/நேரம்> வடிவம், எடுத்துக்காட்டாக, காப்பகம்-பாதுகாப்பு-2023-02-14-18-05-34 . காப்பகப்படுத்தப்பட்ட கோப்பை இப்போது பழைய நிகழ்வுகளைக் கண்டறியப் பயன்படுத்தலாம்.
படி : WinDefLogView ஐப் பயன்படுத்தி விண்டோஸ் டிஃபென்டர் நிகழ்வுப் பதிவைப் படிக்கவும்
3] பாதுகாப்பு பதிவை கைமுறையாக அழிக்கவும்
நீங்கள் தக்கவைப்புக் கொள்கையை அமைத்திருந்தால் நிகழ்வுகளை மேலெழுத வேண்டாம் (பதிவுகளை கைமுறையாக அழிக்கவும்) , நீங்கள் வேண்டும் பாதுகாப்பு பதிவை கைமுறையாக அழிக்கவும் பின்வரும் முறைகளில் ஏதேனும் ஒன்றைப் பயன்படுத்துதல்.
- நிகழ்வு பார்வையாளர்
- WEVTUTIL.exe பயன்பாடு
- தொகுதி கோப்பு
அவ்வளவுதான்!
இப்போது படியுங்கள் : நிகழ்வு பதிவில் நிகழ்வுகள் இல்லை
கேமராவிலிருந்து கணினி விண்டோஸ் 10 க்கு புகைப்படங்களை மாற்றுவது எப்படி
தீம்பொருள் என்ன நிகழ்வு ஐடி கண்டறியப்பட்டது?
விண்டோஸ் பாதுகாப்பு நிகழ்வு பதிவு ஐடி 4688 கணினியில் தீம்பொருள் கண்டறியப்பட்டதைக் குறிக்கிறது. எடுத்துக்காட்டாக, உங்கள் விண்டோஸ் சிஸ்டத்தில் மால்வேர் இருந்தால், நிகழ்வு 4688ஐத் தேடுவது, அந்தத் தவறான நோக்கமுள்ள நிரலால் செயல்படுத்தப்படும் எந்த செயல்முறையையும் வெளிப்படுத்தும். அந்த தகவலுடன், நீங்கள் விரைவான ஸ்கேன் செய்யலாம், விண்டோஸ் டிஃபென்டர் ஸ்கேன் திட்டமிடவும் , அல்லது டிஃபென்டர் ஆஃப்லைன் ஸ்கேன் இயக்கவும் .
உள்நுழைவு நிகழ்விற்கான பாதுகாப்பு ஐடி என்ன?
நிகழ்வு பார்வையாளரில், தி நிகழ்வு ஐடி 4624 உள்ளூர் கணினியில் உள்நுழைவதற்கான ஒவ்வொரு வெற்றிகரமான முயற்சியிலும் உள்நுழையப்படும். இந்த நிகழ்வு அணுகப்பட்ட கணினியில் உருவாக்கப்பட்டது, வேறுவிதமாகக் கூறினால், உள்நுழைவு அமர்வு உருவாக்கப்பட்டது. நிகழ்வு உள்நுழைவு வகை 11: CachedInteractive கணினியில் உள்நாட்டில் சேமிக்கப்பட்ட பிணைய நற்சான்றிதழ்களுடன் கணினியில் உள்நுழைந்த பயனரைக் குறிக்கிறது. நற்சான்றிதழ்களைச் சரிபார்க்க டொமைன் கன்ட்ரோலரைத் தொடர்பு கொள்ளவில்லை.
படி : விண்டோஸ் நிகழ்வு பதிவு சேவை தொடங்கவில்லை அல்லது கிடைக்கவில்லை .
