Rotacja dziennika zdarzeń Windows?

9

Windows Server 2003.

Czy istnieje sposób na łatwe obracanie dzienników zdarzeń (lub automatyczne czyszczenie i zapisywanie)? Robię trochę audytu na tym komputerze, a mój dziennik zabezpieczeń staje się naprawdę duży naprawdę szybko i co kilka tygodni muszę pamiętać, aby go zapisać i wyczyścić.

Tak, mógłbym polegać na zadaniach tworzenia kopii zapasowych i włączyć nadpisywanie ... ale byłoby miło, gdyby Windows mógł automatycznie zapisywać i czyścić dziennik, gdy zbliża się jego pojemność.

windows-server-2003 windows-event-log Boden
źródło

Odpowiedzi:

12

Wygląda na to, że większość ludzi nie wie o tej funkcji, ale Windows automatycznie obróci pliki dziennika, jeśli tak skonfigurowano. Poszukaj „AutoBackupLogFiles” w tym pliku.

Możesz to skonfigurować na zasadzie serwer dla serwera, ale jest to uciążliwe dla dużej liczby serwerów. Utworzyłem szablon administracyjny, aby ustawić to na komputerach serwerowych, a następnie wykonałem skrypt skrypt startowy, aby dodać zaplanowane zadanie okresowego pobierania, ZIPowania i przenoszenia plików dziennika do lokalizacji przechowywania. Działało naprawdę dobrze i było tanie!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Evan Anderson
źródło
+1 Dobra wskazówka. Spróbuję.
kentchen
Czy będzie to działać tylko w 2008 / Vista, czy będzie działać również w 2000 / XP / 2003? Jakie powinny być ustawione zasady przechowywania?
msvcyc
1
Nigdy nie próbowałem tego na serwerze 2008 lub Vista. Działa dobrze na serwerach 2003 i 2000, a Microsoft twierdzi, że działa na systemie Windows XP. Ustawienie przechowywania musi wynosić 0xffffffff, aby działało w 2003 / XP / 2000. Możesz zobaczyć więcej szczegółów od Microsoft na: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Evan Anderson
1
Chciałbym, żeby były instrukcje, jak samemu to skonfigurować, zamiast pobierać plik ADM
Jonathan
2

Oto skrypt VBS, który zapisze dziennik zdarzeń i wyczyści go. Umieść to w zaplanowanym zadaniu. Zauważ, że konkretny dziennik zdarzeń jest podany w 3 linii skryptu i że oczywiście będziesz chciał poprawić ścieżkę docelową.

Kod „pożyczony” (tzn. Skradziony) z MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
źródło
0

Aby zobaczyć konfigurowalne opcje niestandardowego szablonu ADM, prawdopodobnie musisz kliknąć menu Widok i odznaczyć „pokaż tylko ustawienia zasad, którymi można w pełni zarządzać”.


źródło