Windows Server 2003.
Чи є спосіб легко обертати журнали подій (або автоматично очищати та зберігати)? Я трохи ревізую цю машину, і мій журнал безпеки дуже швидко стає справжнім, і кожні пару тижнів мені потрібно пам'ятати, щоб зберегти та очистити його.
Так, я міг би покластися на завдання резервного копіювання та включити перезапис ... але було б приємніше, якби я міг просто змусити Windows автоматично зберігати та очищати журнал, коли він наближається до потужності.
Відповіді:
Схоже, більшість людей не знає про цю функцію, але Windows автоматично поверне файли журналу, якщо так налаштовано. Шукайте "AutoBackupLogFiles" у цьому файлі.
Ви можете налаштувати це на основі сервер-за-сервер, але це втомливо для великої кількості серверів. Я створив адміністративний шаблон, щоб встановити це на серверних комп’ютерах, а потім виписав сценарій запуску, щоб додати заплановане завдання, щоб періодично збирати, ZIP та переміщувати файли журналів у місце збереження. Це працювало дуже добре, і було дешево!
Ось сценарій VBS, який збереже ваш журнал подій та очистить його. Поставте це в плановому завданні. Зауважте, що конкретний журнал подій вказаний у рядку 3 сценарію, і ви, очевидно, захочете налаштувати цільовий шлях.
Код "запозичений" (тобто викрадений) у MSDN .
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
objLogFile.ClearEventLog
Next
Щоб побачити параметри, які можна налаштувати для користувацького шаблону ADM, вам, ймовірно, потрібно натиснути меню Перегляд і зняти прапорець "Показувати лише налаштування політики, якими можна керувати повністю".