Rotasi Log Kejadian Windows?

9

Windows Server 2003.

Apakah ada cara untuk dengan mudah memutar log peristiwa (atau secara otomatis menghapus dan menyimpan)? Saya melakukan sedikit audit pada mesin ini dan log keamanan saya menjadi sangat besar dengan sangat cepat dan setiap beberapa minggu saya harus ingat untuk menyimpan dan menghapusnya.

Ya saya bisa mengandalkan pekerjaan cadangan dan mengaktifkan penulisan ulang ... tapi akan lebih baik jika saya bisa membuat Windows secara otomatis menyimpan dan menghapus log ketika sudah mendekati kapasitas.

Boden
sumber

Jawaban:

12

Sepertinya kebanyakan orang tidak tahu tentang fitur ini, tetapi Windows akan memutar file log secara otomatis jika sudah dikonfigurasi. Cari "AutoBackupLogFiles" di file ini.

Anda dapat mengonfigurasi ini berdasarkan server-untuk-server, tetapi itu membosankan untuk sejumlah besar server. Saya membuat Template Administratif untuk mengatur ini di komputer server, dan kemudian membuat skrip startup untuk menambahkan tugas yang dijadwalkan untuk mengambil secara berkala, ZIP, dan memindahkan file log ke lokasi penyimpanan. Ini bekerja sangat baik, dan murah!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
sumber
+1 Tip yang bagus. Saya akan mencobanya.
kentchen
Apakah ini hanya berfungsi pada 2008 / Vista atau akan bekerja pada 2000 / XP / 2003 juga? Apa seharusnya kebijakan retensi ditetapkan?
msvcyc
1
Saya belum pernah mencoba ini di Server 2008 atau Vista. Ini berfungsi dengan baik pada Server 2003 dan 2000, dan Microsoft mengatakan itu berfungsi pada Windows XP. Pengaturan retensi harus 0xffffffff agar dapat berfungsi pada 2003 / XP / 2000. Anda dapat melihat beberapa perincian lebih lanjut dari Microsoft di: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
Saya berharap ada instruktur tentang cara mengkonfigurasinya sendiri daripada mengunduh file ADM
Jonathan
2

Berikut skrip VBS yang akan menyimpan log acara Anda dan menghapusnya. Masukkan ini dalam tugas yang dijadwalkan. Perhatikan bahwa log peristiwa spesifik ditentukan pada baris 3 skrip dan Anda jelas ingin mengubah jalur target.

Kode "dipinjam" (mis. Dicuri) dari MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
sumber
0

Untuk melihat opsi yang dapat dikonfigurasi untuk template ADM khusus, Anda mungkin perlu mengklik menu View, dan hapus centang "hanya tampilkan pengaturan kebijakan yang dapat dikelola sepenuhnya".


sumber