Журнал безопасности теперь заполнен (идентификатор события 1104).

В средстве просмотра событий зарегистрированные ошибки являются общими, и вы столкнетесь с разными ошибками с разными идентификаторами событий. События, которые записываются в журналы безопасности, обычно имеют ключевое слово Audit Success или Audit Failure. В этом посте мы обсудим журнал безопасности заполнен (идентификатор события 1104), в том числе почему это событие запускается, и действия, которые вы можете выполнить в этой ситуации, будь то на клиентском или серверном компьютере.

Как указано в описании события, это событие генерируется каждый раз, когда журнал безопасности Windows переполняется. Например, если был достигнут максимальный размер файла журнала событий безопасности и выбран метод хранения журнала событий. Не перезаписывать события (Очистить журналы вручную) как описано в этом документация Майкрософт. Ниже приведены параметры в настройках журнала событий безопасности:

• Перезаписывать события по мере необходимости (сначала самые старые события) — это настройка по умолчанию. Как только будет достигнут максимальный размер журнала, старые элементы будут удалены, чтобы освободить место для новых элементов.
• Архивировать журнал при заполнении, не перезаписывать события: если выбрать этот параметр, Windows автоматически сохранит журнал при достижении максимального размера журнала и создаст новый. Журнал будет заархивирован везде, где хранится журнал безопасности. По умолчанию это будет в следующем месте %SystemRoot%\SYSTEM32\WINEVT\LOGS. Вы можете просмотреть свойства средства просмотра событий входа, чтобы определить точное местоположение.
• Не перезаписывать события (Очистить журналы вручную) — если при выборе этого параметра журнал событий достигает максимального размера, дальнейшие события не будут записываться до тех пор, пока журнал не будет очищен вручную.

Чтобы проверить или изменить настройки журнала событий безопасности, первое, что вы можете изменить, это Максимальный размер журнала (КБ) – максимальный размер файла журнала составляет 20 МБ (20480 КБ). Кроме того, выберите свою политику хранения, как указано выше.

Журнал безопасности теперь заполнен (идентификатор события 1104).

Когда достигнут верхний предел размера файла журнала событий безопасности и нет места для регистрации дополнительных событий, Идентификатор события 1104: журнал безопасности заполнен. будет зарегистрировано, указывая на то, что файл журнала заполнен, и вам необходимо выполнить одно из следующих немедленных действий.

1. Включить перезапись журнала в средстве просмотра событий
2. Архивировать журнал событий безопасности Windows
3. Вручную очистить журнал безопасности

Давайте подробно рассмотрим эти рекомендуемые действия.

1]Включить перезапись журнала в средстве просмотра событий

По умолчанию журнал безопасности настроен на перезапись событий по мере необходимости. Когда вы включаете параметр перезаписи журналов, это позволяет средству просмотра событий перезаписывать старые журналы, что, в свою очередь, предотвращает переполнение памяти. Итак, вам нужно убедиться, что эта опция включена, выполнив следующие действия:

• Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
• В диалоговом окне «Выполнить» введите событиеvwr и нажмите Enter, чтобы открыть средство просмотра событий.
• Разверните Журналы Windows.
• Щелкните Безопасность.
• На правой панели в меню Действия выберите Свойства. Либо щелкните правой кнопкой мыши журнал безопасности на левой панели навигации и выберите «Свойства».
• Теперь в разделе При достижении максимального размера журнала событий выберите переключатель для параметра Перезаписывайте события по мере необходимости (сначала самые старые события) вариант.
• Нажмите Применить > ХОРОШО.