Máy chủ Windows 2003.
Có cách nào để dễ dàng xoay nhật ký sự kiện (hoặc tự động xóa và lưu) không? Tôi đang thực hiện một chút kiểm tra trên máy này và nhật ký bảo mật của tôi sẽ thực sự lớn rất nhanh và cứ sau vài tuần tôi phải nhớ lưu và xóa nó.
Vâng, tôi có thể dựa vào các công việc sao lưu và kích hoạt ghi đè ... nhưng sẽ tốt hơn nếu tôi có thể để Windows tự động lưu và xóa nhật ký khi gần hết công suất.
Câu trả lời:
Có vẻ như hầu hết mọi người không biết về tính năng này, nhưng Windows sẽ tự động xoay các tệp nhật ký nếu được cấu hình như vậy. Tìm "AutoBackupLogFiles" trong tệp này.
Bạn có thể định cấu hình này trên cơ sở máy chủ cho máy chủ, nhưng điều đó thật tẻ nhạt đối với một số lượng lớn máy chủ. Tôi đã tạo Mẫu quản trị để đặt tệp này trên máy tính của máy chủ, sau đó viết kịch bản khởi động để thêm tác vụ theo lịch trình để nhận định kỳ, ZIP và di chuyển tệp nhật ký đến vị trí lưu giữ. Nó hoạt động thực sự tốt, và rẻ!
Đây là tập lệnh VBS sẽ lưu nhật ký sự kiện của bạn và xóa nó. Đặt điều này trong một nhiệm vụ theo lịch trình. Lưu ý rằng nhật ký sự kiện cụ thể được chỉ định trong dòng 3 của tập lệnh và rõ ràng bạn sẽ muốn điều chỉnh đường dẫn đích.
Mã "mượn" (nghĩa là bị đánh cắp) từ MSDN .
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
objLogFile.ClearEventLog
Next
Để xem các tùy chọn có thể định cấu hình cho mẫu ADM tùy chỉnh, có lẽ bạn cần phải nhấp vào menu Xem và bỏ chọn "chỉ hiển thị các cài đặt chính sách có thể được quản lý hoàn toàn".