Обертання журналу подій Windows?


9

Windows Server 2003.

Чи є спосіб легко обертати журнали подій (або автоматично очищати та зберігати)? Я трохи ревізую цю машину, і мій журнал безпеки дуже швидко стає справжнім, і кожні пару тижнів мені потрібно пам'ятати, щоб зберегти та очистити його.

Так, я міг би покластися на завдання резервного копіювання та включити перезапис ... але було б приємніше, якби я міг просто змусити Windows автоматично зберігати та очищати журнал, коли він наближається до потужності.

Відповіді:


12

Схоже, більшість людей не знає про цю функцію, але Windows автоматично поверне файли журналу, якщо так налаштовано. Шукайте "AutoBackupLogFiles" у цьому файлі.

Ви можете налаштувати це на основі сервер-за-сервер, але це втомливо для великої кількості серверів. Я створив адміністративний шаблон, щоб встановити це на серверних комп’ютерах, а потім виписав сценарій запуску, щоб додати заплановане завдання, щоб періодично збирати, ZIP та переміщувати файли журналів у місце збереження. Це працювало дуже добре, і було дешево!

http://mx02.wellbury.com/misc/EventLogPolicy.adm


+1 Приємна порада. Я спробую це спробувати.
Кентхен

Чи буде це працювати лише у 2008 / Vista чи буде працювати і на 2000 / XP / 2003? До чого слід встановити політику утримання?
msvcyc

1
Я ніколи не пробував цього на сервері 2008 або Vista. Він прекрасно працює на серверах 2003 та 2000 років, і Microsoft каже, що працює на Windows XP. Параметр утримання повинен бути 0xffffffff, щоб він працював на 2003 / XP / 2000. Ви можете ознайомитись з додатковими подробицями від Microsoft за посиланням: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Еван Андерсон,

1
Я хотів би, щоб були інструктажі щодо того, як налаштувати його замість завантаження файлу ADM
Джонатан

2

Ось сценарій VBS, який збереже ваш журнал подій та очистить його. Поставте це в плановому завданні. Зауважте, що конкретний журнал подій вказаний у рядку 3 сценарію, і ви, очевидно, захочете налаштувати цільовий шлях.

Код "запозичений" (тобто викрадений) у MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next

0

Щоб побачити параметри, які можна налаштувати для користувацького шаблону ADM, вам, ймовірно, потрібно натиснути меню Перегляд і зняти прапорець "Показувати лише налаштування політики, якими можна керувати повністю".

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.