Nhật ký sự kiện xoay vòng?


9

Máy chủ Windows 2003.

Có cách nào để dễ dàng xoay nhật ký sự kiện (hoặc tự động xóa và lưu) không? Tôi đang thực hiện một chút kiểm tra trên máy này và nhật ký bảo mật của tôi sẽ thực sự lớn rất nhanh và cứ sau vài tuần tôi phải nhớ lưu và xóa nó.

Vâng, tôi có thể dựa vào các công việc sao lưu và kích hoạt ghi đè ... nhưng sẽ tốt hơn nếu tôi có thể để Windows tự động lưu và xóa nhật ký khi gần hết công suất.

Câu trả lời:


12

Có vẻ như hầu hết mọi người không biết về tính năng này, nhưng Windows sẽ tự động xoay các tệp nhật ký nếu được cấu hình như vậy. Tìm "AutoBackupLogFiles" trong tệp này.

Bạn có thể định cấu hình này trên cơ sở máy chủ cho máy chủ, nhưng điều đó thật tẻ nhạt đối với một số lượng lớn máy chủ. Tôi đã tạo Mẫu quản trị để đặt tệp này trên máy tính của máy chủ, sau đó viết kịch bản khởi động để thêm tác vụ theo lịch trình để nhận định kỳ, ZIP và di chuyển tệp nhật ký đến vị trí lưu giữ. Nó hoạt động thực sự tốt, và rẻ!

http://mx02.wellbury.com/misc/EventLogPolicy.adm


+1 Mẹo hay. Tôi sẽ thử nó.
kentchen

Điều này sẽ chỉ hoạt động trên 2008 / Vista hay nó sẽ hoạt động trên 2000 / XP / 2003? Chính sách duy trì nên được đặt thành gì?
msvcyc

1
Tôi chưa bao giờ thử điều này trên Server 2008 hoặc Vista. Nó hoạt động tốt trên Server 2003 và 2000 và Microsoft cho biết nó hoạt động trên Windows XP. Cài đặt duy trì cần phải là 0xffffffff để nó hoạt động trên 2003 / XP / 2000. Bạn có thể xem thêm một số chi tiết từ Microsoft tại: msdn.microsoft.com/en-us/l Library / aa363648 (VS85) .aspx
Evan Anderson

1
Tôi ước có những người hướng dẫn về cách tự cấu hình nó thay vì tải xuống tệp ADM
Jonathan

2

Đây là tập lệnh VBS sẽ lưu nhật ký sự kiện của bạn và xóa nó. Đặt điều này trong một nhiệm vụ theo lịch trình. Lưu ý rằng nhật ký sự kiện cụ thể được chỉ định trong dòng 3 của tập lệnh và rõ ràng bạn sẽ muốn điều chỉnh đường dẫn đích.

Mã "mượn" (nghĩa là bị đánh cắp) từ MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next

0

Để xem các tùy chọn có thể định cấu hình cho mẫu ADM tùy chỉnh, có lẽ bạn cần phải nhấp vào menu Xem và bỏ chọn "chỉ hiển thị các cài đặt chính sách có thể được quản lý hoàn toàn".

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.