安全日志未满,不自动写入新事件。
问题
-
服务器安全日志未满,不自动写入新事件,今天重启电脑后安全日志有当前更新。如下图,图二:5-28后到今天重启之前的日志没有,查询5-28日志时发现图一,windows时间服务已关闭,不知道与这个有关系否,但系统和应用程序日志没有中断过。请教一下是什么原因造成的安全日志记录中断。
- 已编辑 andy_wang004 2020年8月5日 3:22 补充内容
全部回复
-
尊敬的客户,您好!
根据我的理解,如果事件日志服务已关闭的话,是不会写入新事件的。所以服务关闭的这段时间内,没有日志写入。
关于事件1100,事件日志服务每次关闭时都会生成此事件,它还会在正常系统关闭期间生成。详细信息,可以参考:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-1100
我们可以检查下是否有系统关闭或者其他人关闭日志服务。我们可以检查是否启用了如下组策略:
"计算机配置\Windows设置\安全设置\本地策略\安全选项\审核: 如果无法记录安全审核则立即关闭系统
如有问题,请随时联系我们。
此致,
Hannah XiongPlease remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
