1105 イベントログの自動バックアップ
ログが満杯になり、新しいログファイルが作られて古いログがアーカイブ(退避保存)されたときに記録される。基本は情報通知だが、保持設定の状態を映す指標になる。
概要
サブカテゴリは Other Events、記録元は Microsoft-Windows-Eventlog。保持方式が「満杯時にアーカイブして上書きしない」のとき、ログが上限に達すると古いログを .evtx ファイルに退避し、その事実を 1105 として残す。退避先のパスがイベントに含まれる。
発生契機・方法
- ログの最大サイズ到達 + 保持方式「満杯時にアーカイブ」の組み合わせ。
- アーカイブファイル名は
Archive-Security-YYYY-MM-DD-hh-mm-ss-nnn.evtx形式で、時刻は常に UTC で記録される。
セキュリティ上の確認事項
- 多くは情報イベントで対応不要。ただしベースライン(正常時の設定)がアーカイブ方式でないのに 1105 が出る場合、保持設定が変更された可能性を示す。
- アーカイブファイルは過去の証跡そのもの。調査時はバックアップパスの
.evtxを回収対象にする。
ログレビュー時の注意観点
- 退避ファイルが意図せず削除・上書きされていないか、保存先の容量とあわせて確認する。
- 自動バックアップの頻度が急に増えた場合、ログが急速に埋まる原因(大量イベント)の調査につなげる。
主なフィールド
| フィールド | 意味 |
|---|---|
Log | アーカイブされたログ名。セキュリティログでは常に Security |
File | 退避された .evtx ファイルのフルパス |